Mikrotik hap ac2 инструкция по настройке

Сегодня разберем роутер MikroTik hAP AC2. Не смотря на то, что сами микротики являются довольно популярными моделями маршрутизаторов, в квартирах они встречаются редко. Это связано с тем, что настройка этих аппаратов происходит сложнее, чем у других производителей.

Интерфейс здесь не настолько дружелюбен, а действий для настройки придется совершить больше. Это компенсируется тем, что микротики являются надежным оборудованием, которое редко дает сбои. У них имеется много встроенных возможностей, а настройка заточена под опытных пользователей именно по этой причине.

Обзор возможностей MikroTik hAP ac2

Для начала приведем характеристики роутера:

• Процессор 716 МГц;
• Количество ядер: 4;
• Объем оперативной памяти: 128 МБ;
• Постоянная память: 16 МБ;
• Возможность подключения модема: 3G 4G/LTE;
• Стандарт Wi-Fi :: 5 (802.11ac), 4 (802.11n);
• Класс Wi-Fi : AC1200;
• Максимальная скорость по частоте 2.4 ГГц: 300 Мбит/с;
• Максимальная скорость по частоте 5 ГГц: 867 Мбит/с;
• Одновременная работа в двух диапазонах: есть;
• Многопотоковая передача данных: MIMO;
• Мощность передатчика: 27 dBm;
• Тип и количество антенн: внутренняя x1;
• Коэффициент усиления антенны: 2.5 dBi;
• Количество LAN портов: 5;
• Скорость передачи по проводному подключению: 1000 Мбит/с;
• USB разъем: USB 2.0 x1.

В принципе, если смотреть на характеристики, то аппарат мало отличается от вариантов других производителей, которые они предлагают для дома.

Основным бонусом, кроме репутации, у данного производителя является наличие RouterOS, которая ставится на все их маршрутизаторы. С её помощью можно провести настройку любого агрегата, превратив его в нечто большее, чем простой роутер. С одной стороны, если вы умеете настраивать один микротик, то вы умеете настраивать их все. С другой стороны, из-за этой универсальности придется побегать по вкладкам или писать множество команд в консоли.

Первое подключение к ПК

Здесь нет отличий от подключений других маршрутизаторов. Установите его так, чтобы провода спокойно дотягивались со всех мест, об них никто не запинался и не тревожил случайно. Также не стоит ставить в горячие или холодные места. Производитель заявляет возможность работы аппарата при температуре от -40 до +50, но оптимальной считается температура около 25 градусов. Если есть возможность соблюдать температурный режим, то стоит сделать это.

Воткните провод от интернета в первый разъем. Стандартно в микротик hAP ac2 не определен порт для интернета, хотя и размечен для подключения первый порт.

Вы можете воткнуть провод хоть посередине, но «стандартом» считается использование первого разъема для подключения к сети, с расчетом на это и написаны все инструкции. Провод от компьютера вставьте в любой из оставшихся разъемов.

Посмотрите на коробку от роутера, там написан стандартный адрес для подключения к устройству, обычно это 192.168.88.1. Его придется вводить при подключении через браузер.

Если хотите использовать программу, то скачайте с официального сайта WinBox. Стандартный логин для подключения –«admin», а пароля нет. Если что-то из стандартных значений не подходит, то придется вспоминать данные или сбрасывать роутер до заводских настроек.

Сброс hAp ac 2 к заводским настройкам

Кнопка сброса настроек находится на задней панели, прямо рядом с местом для подключения кабеля питания. Также она выполняет функции WPS при обычной работе маршрутизатора. У микротиков кнопку нужно зажимать при включении самого устройства. При этом есть несколько моментов, когда её отпускать.

Алгоритм действий следующий:

1. Удерживайте кнопку RESET перед включением устройства, то есть, нажмите и держите её, пока включается устройство. Отпустите её по показаниях индикаторов.
2. Отпустите кнопку, когда зеленый светодиодные индикаторы(LED) начнут мигать, чтобы сбросить настройки RouterOS. В этом случае произойдет стандартный сброс до заводских настроек.
3. Отпустите кнопку после того, как светодиодные индикаторы(LED) перестанут мигать (~ 20 секунд), чтобы устройство начало поиск сервера Netinstall. Этот вариант используется при обновлении системы.

Описывать здесь сброс через интерфейс не будем, потому что в нем редко есть смысл. Если вы все же захотите его сделать, то знайте, что соответствующий пункт меню находится в разделе System.

Пошаговая настройка роутера MikroTik

Подключиться к маршрутизатору можно через веб-интерфейс или через специальную программу. В первом случае есть шанс, что все получится сделать через быструю настройку. Для базовой настройки этот способ подходит лучше.

Если же планируете настраивать дополнительные функции, то стоит использовать винбокс, потому что через него получается быстрее работать с системой, переключение между параметрами и вкладками также осуществляется быстрее.

Через Webfig

Откройте браузер, наберите в верхней строке адрес вашего маршрутизатора. Откроется окно, в которое нужно ввести логин и пароль. Пароль по умолчанию пустой, так что вводите только логин.

После этого, в верхнем правом углу нажмите на “Quick Set”, чтобы перейти в раздел быстрых настроек. Здесь отображены не все возможности, но если он вам подойдет, то стоит использовать именно его. Здесь же рядом выберите в окне «Home AP Dual», чтобы начать настройку двухдиапазонного роутера для домашнего использования.

В левой части окна происходит настройка беспроводной сети Wi-Fi роутера. Здесь в строке «Network Name» задайте то имя для вайфая, которое хотели бы видеть. Дальше все строки оставляйте без изменений, сразу переходите к разделу с паролем. Он называется “Security”, поставьте галочку у “WPA2” и введите пароль в открывшемся поле.

Чуть левее находятся настройки интернета. Здесь, в верхней части следует выбрать ваш способ подключения, статический IP-адрес, динамический или PPPOE. В большинстве случаев используется последний способ подключения. Здесь введите имя пользователя и пароль для доступа к сети. Также проверьте, чтобы стояли галочки DHCP Server и NAT, без этого интернет на других устройствах не будет работать.

Для настройки статического адреса потребуется ввести сам адрес, также шлюз для соединения и DNS сервера. Для подключения через динамический адрес обычно не требуется никакой дополнительной информации. В самом низу списка находится окно ввода пароля, здесь задайте какой-нибудь пароль, чтобы обеспечить безопасность своего устройства. Если здесь нет нужных параметров, то придется перейти в полную версию, чтобы уже здесь провести настройки.

С помощью Winbox

Программа WinBox устанавливается на Windows и теперь подключаться к роутерам можно через неё. Она особенно полезна, когда у вас имеется несколько установленных микротиков, потому что самостоятельно ищет все устройства в сети.

В нижней части программы доступны последние подключения, а выбор производится в верхней строке по адресу или автоматически ищется по MAC-адресу. Введите логин и пароль для доступа к устройству, перед вами откроется окно с настройками. В левой колонке находятся разделы меню, после нажатия по ним раскрывается подменю.

Как и все микротики, этот маршрутизатор может поддерживать несколько подключений для резервирования канала.

Здесь пошли на упрощение, которое не требует от пользователя самостоятельно разбираться во всем, так что выделен отдельный порт с названием, в который и производится подключение первого соединения. Это упрощает первичную настройку, так как перестает требоваться настройка групп и моста для передачи данных на другие интерфейсы. Сделать это можно, но это уже другой уровень настройки и вряд ли пригодится в домашних условиях.

В левой колонке щелкните по надписи «Interfaces». Откроется еще одно окно, в котором производится настройка. Там, на первой вкладке, нажмите на синий плюс и выберите свой тип подключения. Здесь продемонстрируем на примере PPPOE, так что выбираем PPPOE Client.

В появившемся окне напишите имя подключения. Чтобы не перепутать, если у вас есть несколько подключений, лучше пишите название провайдера или номер разъема. В нижней строке «Interfaces» поставьте ether1, если подключали в первый разъем.

В этом окне перейдите на вторую вкладку «DialOut», здесь введите данные для подключения. В случае PPPoE это логин и пароль. Если не будет резервных подключений, то поставьте отмеченную галочку.

Закройте окно, теперь вы должны вернуться к предыдущему окну с интерфейсами. Здесь откройте вторую вкладку с названием «Interface List». Найдите здесь стандартное WAN подключение и раскройте его. В появившемся окне замените стандартный интерфейс ether1 на ваше созданное подключение.

Вайфай можно настроить здесь же, хотя рекомендую делать это через QuickSet, там все параметры собраны в одном месте и разобраться с ними проще.

Здесь же для настройки в левом столбце выберите «Wireless». Перейдите на последний раздел с названием «Security Profiles» и нажмите на плюс, чтобы добавить новый. Здесь задайте имя в верхней строке и снимете галку с WPA PSK и переставьте на WPA2 PSK. В открывшейся строке поставьте пароль для своей сети.

Теперь откройте раздел Wi-Fi Interfaces, щелкните там по соединению. Откроется окошко, в котором задайте имя и страну на вкладке Wireless, хотя последнее и не обязательно. Щелкните по кнопке Advanced Mode сбоку.

Здесь расставьте все так, как показано на картинке. Только профиль безопасности задайте свой. Также можно отключить кнопку WPS, если не планируйте такой тип подключения.

Настройка Firewall

Сначала сделайте важную вещь: активируйте режим SafeMod. Иконка с ним находится в самом верху над столбцом с настройками. Активируйте её перед началом настроек нажатием, а после окончания нажмите снова. Если просто закрыть окно или перезагрузить роутер, то настройки не сохранятся.

Это ваша страховка на тот случай, если вы сами себе запретите доступ к роутеру. Если же это случилось, то придется его полностью сбрасывать до заводских параметров, а потом настраивать заново. Или попробуйте подключится к нему по MAC-адресу из винбокса.

Для начала настройки безопасности на своем устройстве, откройте программу винбокс, а дальше выбирайте раздел IP-Firewall, потом вкладка Filter Rules и нажимаем добавить. Сначала запретим пинговать маршрутизатор, для этого, на вкладке general, chain выбираем input, а в protocol ставим icmp. На вкладке Action выбираем drop.

Теперь стоит запретить управлять маршрутизатором со сторонних адресов. Сначала стоит создать список тех адресов, с которых управление будет разрешено, переходим в IP-Firewall, здесь открывает Address Lists, и жмем на плюсик.

Стоит установить следующие параметры:

• Name – название списка;
• Address – здесь указываете те адреса или сети откуда можно управлять роутером.

Снова открывайте настройки фаерволла, переходите в Filter rules и жмите на плюс. В первой вкладке оставляйте input. Перемещайтесь на вкладку Advanced, в строке Src.List выставьте созданный вами список. В строке Action проставьте accept.

Теперь перейдем к тому, чтобы обрубать все лишние соединения с устройством, которые идут из внешней сети. Создавайте еще одно правило, в chain ставьте input, а в action проставьте drop. Должно получится что-то похожее на картинку.

Здесь важен сам порядок размещения запретов и разрешений. Те правила, что стоят выше, имеют больший приоритет. Поэтому разрешающие правило находится вверху, иначе обрубит вообще все соединения.

Настройка фаерволла на микротике позволяет проделать почти все, что захочется. Если вам нужно запретить или разрешить что-то конкретное, то стоит посмотреть правила настройки и создавать их для себя исходя из готового примера. Здесь приведены общие правила безопасности.

Настройка VPN

Сейчас принято создавать впн через PPtP. Можно создать, используя другие протоколы, но пока что так будет проще всего. VPN понадобится вам, если захотите связать несколько компьютеров или сетей через интернет. Например, чтобы сотрудники могли подключаться удаленно, используя защищенную сети. Или чтобы с работы можно было сидеть на домашнем интернете и это было трудно заметить. Редко когда такая опция требуется для домашнего использования, но микротик позволяет создать такой тип подключения.

Найдите раздел PPP, там откройте вкладку Interface, под самой верхней строкой найдите вкладку PPTP сервер, отметьте галкой пункт Enabled. Снимаем галочки с наименее безопасных алгоритмов идентификации — pap и chap.

Теперь нужно создать профили пользователей, которые будут использовать сеть.

В этом же окне PPP, найдите в верхней строке Secrets и нажмите на «+». В полях Name и Password задайте логин с паролем, они потребуются для подключения к сети. В поле Service ставьте используемые протокол, в данном случае — pptp, в поле Local Address пишем IP-адрес роутера MikroTik, который будет выступать в роли VPN-сервера, а в поле Remote Address — IP-адрес пользователя.

Теперь настраиваем Firewall, чтобы соединение проходило. Стоит открыть 1723 порт для прохождения обычного трафика, а также разрешить протокол GRE. Если потребуется доступ к общим папкам в локалке за роутером, то еще придется открыть порт 445 для проходящего трафика SMB-протокола. Это сделаете по аналогии с приведенным примером.

Откройте в левом меню раздел IP, потом — Firewall, теперь сверху выберите Filter Rules, и нажмите на плюс для добавления правила. В строке Chain проставьте — input, в поле Protocol выставьте tcp, а в поле Dst. Port – здесь поставьте нужный номер, 1723. Теперь раскройте вкладку Action и поставьте accept.

Точно также добавляем правило для GRE. В общем списке не забудьте поднять их наверх, поставив ПЕРЕД запрещающими правилами, иначе они не будут работать.

Настройка IPTV

Может потребоваться обновление прошивки маршрутизатора и установки multicast, хотя обычно все срабатывает сразу. Про обновление написано чуть позже, а для установки дополнительного пакета перейдите на официальный сайт, найдите там свой роутер, потом откройте Extra Packages и скачайте multicast. Откройте в левом меню винбокса Files, перетащите туда распакованный файл из архива. Перезагрузите маршрутизатор.

Теперь к настройке. В левом меню выберите Routing — IGMP Proxy. В открывшемся окне нажмите на плюс для добавления нужных параметров. В первой строке Interface поставьте тот порт, по которому идет интернет. Поставьте галку Upstream. В строке Alternative Subnets укажите адрес своего роутера, только последнюю цифру замените на 0. Например, у вас адрес 192.168.1.1, там поставьте 192.168.1.0/24.

Создайте здесь еще одно подключение по такому же принципу. В первой строке Interface поставьте тот порт, к которому подключится оборудование и не ставьте галку Upstream. Теперь пройдите в раздел Settings и отметьте галкой параметр Quick Leave.

Чтобы не возится с долгой настройкой в самом фаерволле, в левом меню щелкните по New Terminal и введите команды:

• /ip firewall filter add action=accept chain=input comment=»Allow IGMP» disabled=no in-interface=WAN protocol=igmp
• /ip firewall filter add action=accept chain=input comment=»IPTV UDP incoming» disabled=no dst-port=1234 in-interface=WAN protocol=udp
• /ip firewall filter add action=accept chain=forward comment=»IPTV UDP forwarding» disabled=no dst-port=1234 protocol=udp

Вместо WAN поставьте тот порт с точно таким же названием, как тот, по которому у вас идет интернет.

Проброс портов

Здесь приведем простейший проброс портов. Он понадобится в том случае, если к компьютеру или какому-то оборудованию внутри сети нужно подключаться из внешней сети.

По умолчанию, для безопасности, никакие устройства за роутером не видны. Также здесь не учитываются строгий настройки безопасности в фаерволле, как будто там нет правил. Если вы уже настроили, то придется выдать соответствующие разрешения для проброски портов и для внешних подключений.

Алгоритм действий следующий: В левом меню идем по пути IP -> Firewall -> NAT, создаем новое правило, нажав на +. Открывает вкладку General, ставим в строке Chain опцию dstnat, Protocol — в 6 (tcp), Dst. Port — 80:. Вместо Dst. Port – 80 и будет ваш порт, который пробрасываете.

Переходим на вкладку Action, в строке Action ставим dst-nat, в поле To Addresses пишем адрес того компьютера или оборудования, к которому открываем доступ.

Особенности провайдеров

Некоторые провайдеры настраиваются не так, как остальные. Хотя большинство уже перешло на PPPoE, но остались еще некоторые оригиналы. Хорошо, если все данные получаются по динамическому IP или статическому, но есть и более сложные варианты.

Билайн

Здесь поговорим о провайдере Beeline. С настройкой его на маршрутизаторах все плохо, а с настройкой на микротики – все еще хуже. К сожалению, данный провайдер делал все настройки таким образом, чтобы пользователь мог воткнуть кабель в компьютер и ничего не делать. Все просто, все работает, спасибо провайдеру за отсутствие возни. Вот только вышло так, что при втыкании кабеля в роутер, он не получает нужных параметров автоматически.

Микротик же, который находится под управлением линуксовой системы, получает и того меньше.

Еще хуже ситуацию делает то, что в каждом регионе разные параметры, так что привести какую-то одну конкретную инструкцию не получится.

Приведем один пример, который срабатывает в большинстве случаев. Если в вашем случае он не поможет, то ответ придется искать на региональном форуме, в техподдержке или читать полную инструкцию настройку Билайна под микротик, с самостоятельным определением всех параметров, которые пытается передать оператор.

Открывайте IP – DHCP Client. Создайте новый клиент, в качестве интерфейса в первой строке укажите разъем, к которому подключен кабель провайдера. В Add Default Route выбираем special_classless.

В этом же окне перейдите на вкладку Advanced. Здесь поставьте параметры clientid, hostname, а Default Route Distance выставьте в 10.

Теперь к созданию самого подключения.

Перейдите в меню Interfaces, нажмите на синий плюс и создайте новое l2tp-client. Назовём его l2tp-out1-beeline, Max MTU установим 1460, Max MRU 1500. Перейдите на вкладку Dial Out здесь обязательно заполняются некоторые строчки. Connect To: tp.internet.beeline.ru, User: логин от Билайна, Password: соответственно ваш пароль, поставим галочку Add Default Route, Default Route Distance: 5, снимем галочки с mschap1 и pap.

Дом.ру

Провайдер ДомРу есть почти в каждом регионе, так что к нему подключено большое количество клиентов. Он, как и многие крупные провайдеры, работает через PPPoE. Так что, приведенная выше общая инструкция для него полностью актуальна.

Проводить какие-то дополнительные настройки не потребуется.

4G/LTE USB модемы

Воткните модем, подождите несколько минут, откройте WinBox. Перейдите в меню Interfaces и посмотрите, как определился ваш модем. Это LTE или ppp-out1. Щелкните по нему правой кнопкой мыши и выберите Enable.

Теперь перейдите в левое меню и выберите там IP — DHCP Client, нажмите на плюсик. В первой строке выставьте то название, которое отобразилось в интерфейсах. Дистанцию выставьте в единицу.

Теперь идите в меню IP-Firewall. Здесь отключите все, кроме Default Configuration. По нему щелкните два раза, в открывшемся окне в качестве интерфейса укажите ваш модем. На вкладке Action выставьте Accept. Отключение правил в фаерволле производится нажатием на красный крест.

В окне фаерволла перейдите на вкладку NAT. Создайте правило. В нем поставьте на первой вкладке параметр Chai в srcnat и в Out. interface выбираем наш LTE. Теперь во вкладке Action в первой строке поставьте masquerade.

Обновление прошивки MikroTik hAP ac2

Ручное обновление прошивки ушло в прошлое и требуется сейчас редко, так что разберем онлайн загрузку. Для этого подключите свой маршрутизатор к интернету, а потом откройте WinBox. В левом меню выберите System – Packages, в открывшемся коне щелкните по Check For Updates.

Откроется еще одно окошко, в верхней строке которого происходит выбор того, из какой ветки обновления будут загружены.

Выбирайте из двух вариантов:

• long-term — самая надежная прошивка без новых функций. Редко обновляется, почти нет багов и ошибок, но и новые функции попадают сюда в последнюю очередь.
• stable (по умолчанию) — стабильная прошивка с исправлениями, улучшениями и новыми функциями.

Есть еще две версии прошивок, которые ставятся разработчиками и тестерами, с ними экспериментировать не стоит.

Если в выбранной ветке есть что-то новое, то щелкайте по Download&Install и ждите. Скачка и загрузка иногда занимает десяток минут, выключать роутер или перезагружать нельзя.

Отзывы пользователей

Отзывы пользователей смешанные. Здесь все зависит от того, знакомился человек с линуксом и системным администрированием хоты бы поверхностно или нет.

Те люди, которые не знакомы с таким способ настройки жалуются на то, что все слишком сложно, много дополнительных действий, при малейшей ошибке ничего не работает.

Все сходятся в одном минусе: очень слабая встроенная антенна для вайфая. Придется покупать что-то дополнительное, потому что через стены пробивает плохо и, при неудачном расположении, может не покрыть всю квартиру, дом или офис.

В итоге, вывод можно сделать такой: если у вас провайдер с PPPoE, вроде МТСа или Домру, то можно брать. Машина мощная и позволяет делать с интернетом что угодно, хоть подключать 4 резервных канала одновременно. Если же вы не сталкивались с такими настройками и провайдер со сложностями, то лучше рассмотреть другой вариант.

При своем простом и понятном дизайне роутер MikroTik HAP AС² имеет такую непростую для обычного пользователя панель управления и такое бесчисленное количество непонятных настроек, что многие приходят в растерянность. Поэтому в этой инструкции мы объясним, для чего предназначены те или иные кнопки и порты роутера, рассмотрим способ соединения устройств, разберем наиболее простой способ его настройки через веб-интерфейс и другие вопросы.

Внешне роутер MikroTik HAP AC² похож на обычные маршрутизаторы для домашнего использования. На одной из его панелей расположено пять портов: порт №1 с надписью Internet/PoE для подключения кабеля интернет-провайдера и четыре порта для соединения по кабелям с домашними устройствами вроде компьютеров или телевизоров. На этой же панели находится разъем для адаптера питания и кнопка res/wps, совместившая функцию сброса настроек до заводских и функцию безопасного подключения по Wi-Fi WPS. Здесь же находится индикатор pwr (POWER), который горит при включении питания роутера, и индикатор usr (USER), свидетельствующий о подключении функции, заданной пользователем в настройках роутера.
С противоположной стороны есть пять индикаторов, свидетельствующих о работе рассмотренных выше портов. В отличие от конкурентов производитель решил отказаться от классических чисел и обозначил каждый светодиод в форме точек игрального кубика. Например, при работе пятого порта индикатор загорается под пятью точками.
На другой грани роутера расположился порт USB, который пригодится в случае использования USB-модема в качестве основного или резервного способа подключения к интернету. Порт можно использовать и для сетевого хранилища, но больших скоростей от стандарта USB 2.0 ожидать не приходится. Здесь же расположена кнопка Mode, которую можно настроить на выполнение заданной пользователем функции или скрипта. По умолчанию она не задействована.
С противоположной стороны производитель сделал выемку под подставку-крепление, при помощи которой вы можете разместить роутер на столе вертикально, горизонтально или подвесить его на стену. Подставка выполнена из прозрачного пластика и снабжена противоскользящими ножками для размещения на поверхности. В выемке роутера кроме информации о правилах и утилизации содержится этикетка с указанием регистрационных данных устройства.

Подключение роутера MikroTik

Перед подключением роутера MikroTik вам нужно разобраться с тем, что и для чего соединяется. Соединений необходимо два: подключить роутер к интернету и к компьютеру, с которого будет вестись настройка. Далее мы рассмотрим наиболее простой способ подключения через кабель провайдера, хотя есть и другие варианты, например через USB-модем. Для организации доступа роутера к интернету, вставьте разъем кабеля интернет-провайдера в порт номер 1 роутера.
Теперь нужно соединить роутер с компьютером, на котором вы будете вводить необходимые данные. Для этого вам понадобится специальный кабель для локальной сети, который часто именуют патч-кордом. Так как в комплекте с роутером он не поставляется, вам придется приобретать кабель самостоятельно или взять от старого роутера при его наличии. Вставьте один конец патч-корда в любой порт LAN роутера, а другой в сетевой порт компьютера.
Можно обойтись и без кабеля при наличии на компьютере модуля Wi-Fi. В таком случае после загрузки роутера активируйте при необходимости модуль Wi-Fi на компьютере, зайдите в раздел Wi-Fi-сетей, найдите там сеть с названием MikroTik и подключитесь к ней. Так как по умолчанию сеть пароля не имеет, вы подключитесь к ней без ввода данных. Например, в операционной системе Windows 10 для этого кликните по значку панели уведомления в правом нижнем углу и выберите «Сеть». При включенном модуле Wi-Fi построится список сетей, в котором найдите нужную вам и кликните по кнопке «Подключиться».
Если ваш роутер ранее уже настраивали, у него могут быть свои данные для входа в панель управления и Wi-Fi-сеть. При отсутствии этой информации сделайте сброс настроек так, как описано в конце статьи. После этого проделайте действия, описанные в предыдущем абзаце.

Настройка роутера MikroTik HAP AC²

После подключения всех необходимых устройств нужно сделать определенные настройки. Есть несколько способов сделать это, среди которых наиболее распространенные такие: через веб-интерфейс (WebFig) и приложение для Windows под названием WinBox. В этой статье мы рассмотрим первый вариант, как наиболее простой.

Настройки через веб-интерфейс

Чтобы воспользоваться веб-интерфейсом, напишите в адресной строке любого браузера 192.168.88.1 и нажмите на клавиатуре Enter. При появлении приветственного окна выберите WebFig, введите имя и пароль. По умолчанию при входе в веб-интерфейс в поле имени (Login) вводится слово admin, а поле пароля (Password) оставляется пустым.

Перед вами откроется окно с большим количеством настроек, разбитых по вкладкам (ваш веб-интерфейс может быть немного другим по сравнению с представленным). Для основных настроек вам достаточно заполнить сведения на вкладке Quick Set («Быстрая настройка»). На первом же шаге вам нужно выбрать раздел, который определит тип работы роутера. Многие роутеры умеют не только выполнять свои основные функции, но и выступать в роли адаптеров, усилителей сигнала и в других случаях. Поэтому нужно задать этот тип работы в правом верхнем углу окна. При разворачивании кнопки у вас будут доступны такие варианты: CAP (управляемая точка доступа), HomeAP (домашний роутер с базовыми настройками), PTP Bridge AP (режим моста) и другие. Выберите из них HomeAP.
Внимательно рассмотрите окно. В левой его части ведется настройка Wi-Fi-сетей, а справа настраивается тип подключения и задаются данные для самого веб-интерфейса. Начнем с настройки правой части. Для настройки у вас доступно три варианта: Static, Automatic и PPPoE. Выберите тот из них, который обозначен в вашем договоре с провайдером. Если в договоре указан статический IP и другие данные, выберите вариант Static и заполните необходимые поля ниже. В случае варианта PPPoE вам нужно внести в поля имя и пароль, указанные в договоре. Для многих подойдет вариант Automatic, когда все необходимые данные определятся автоматически. Однако для этого в настройках компьютера должно быть разрешено автоматическое получение IP-адреса.
Теперь перейдем к настройке Wi-Fi-сетей в левой части окна. Так как роутер MikroTik HAP AС² работает на двух частотах, его настройки ведутся в двух столбцах с названиями 2 GHz и 5 GHz. При желании задайте имя для каждой из них в строках Network Name, в строке Country выберите свою страну и в строке Wi-Fi Password обязательно задайте пароль и запишите его, чтобы затем не пришлось сбрасывать роутер к заводским настройкам. Если вы хотите настроить гостевую сеть, сделайте это в разделе Guest Network.
Осталось задать пароль к веб-интерфейсу в строке Password в окне внизу справа и повторить его в строке Confirm Password. Рекомендуем не пропускать этот шаг, чтобы посторонние люди не могли перенастроить роутер без вашего ведома. Эти данные тоже запишите, чтобы потом не мучиться со сбросом и новой настройкой устройства.

Если веб-интерфейс не открывается

1. Для захода через браузер по адресу 192.168.88.1 интернет не требуется. Роутер должен загружать веб-интерфейс всегда при условии, что все устройства соединены правильно. Поэтому первым делом удостоверьтесь в том, что все провода подключены так, как описано выше в разделе о подключении устройств, а устройства успешно загружены.
2. Проверьте, стоит ли у вас автоматическое получение IP-адреса. В Windows 10 для этого нажмите кнопку «Пуск», выберите раздел «Параметры», затем в нем «Сеть и Интернет». Кликните по строке «Настройка параметров адаптера», затем правой клавишей мыши по вашей сети и выберите «Свойства». Найдите строку «IP версии 4 (TCP / IPv4) и нажмите в ней на «Свойства». Поставьте переключатель в позицию «Получить IP-адрес автоматически». Этот способ подойдет, если ваш провайдер поддерживает возможность автоматического определения IP.
3. Если все подключено правильно и настроено, но результата нет, сбросьте настройки роутера до заводских, как описано ниже. Это особенно актуально в тех случаях, если роутер куплен с рук или настраивался ранее.
4. Попробуйте открыть веб-интерфейс с другого браузера.
5. Проблема может возникнуть из-за неисправности роутера, компьютера или на стороне провайдера. Поэтому последовательно исключайте все варианты. Для этого попробуйте подключить роутер через другой компьютер, замените патч-корд, свяжитесь с провайдером и выясните, нет ли проблем с интернетом в вашем доме.

Логин и пароль роутера MikroTik по умолчанию

Выше мы уже предлагали вам записать имя и пароль от ваших Wi-Fi-сетей, а также и от веб-интерфейса. Рекомендуем там же записать логин и пароль от веб-интерфейса, которые были при вашем входе в него по умолчанию. Эти данные такие: Login — admin, Password — пусто, то есть в строке имени вы вводите слово admin, а строку с паролем оставляете пустой. Эти сведения вам понадобятся в том случае, если после всех подключений вы сделаете сброс настроек роутера к заводским.
Заметим, что информация о начальных данных есть на коробке роутера, но требует знания языка. Написано там следующее: Default username is admin and there is no password, что обозначает дословно: имя пользователя — admin, пароль отсутствует. Если вы хотите сменить пароли на другие, перечитайте раздел выше о подключении.

Сброс настроек роутера MikroTik HAP AC² до заводских

Возврат к заводским настройкам выручит вас в разных ситуациях: при потере пароля к панели управления, при некорректных настройках или в других случаях. Чтобы вернуть роутер MikroTik HAP AC² к заводским настройкам, проделайте следующее. Отключите роутер от сети. Нажмите и держите кнопку res/wps. Продолжая ее удерживать, подключите роутер к розетке и дождитесь мигания индикатора usr. После этого отпустите кнопку и дождитесь перезагрузки роутера. После возврата к заводским настройкам вам придется провести подключение и настройку роутера, как описано в предыдущих разделах. Не забывайте задать пароли к своей Wi-Fi-сети и к панели управления, чтобы снизить риск подключения к ней посторонних людей.
При помощи приведенной выше инструкции вы можете быстро настроить роутер MikroTik и больше не касаться этой темы. Но для использования всего его широкого функционала придется потратить немало времени на изучение всех настроек и специфической терминологии.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

В данной статье мы пошагово настроим роутер MikroTik hAP ac2 с нуля без использования заводской конфигурации. Все настройки будем производить через утилиту WinBox. Портом WAN (для кабеля интернет-провайдера) назначим первый порт, оставшиеся четыре настроим как LAN – порты (для внутренней сети). Тип подключения от провайдера – динамический IP-адрес (автоматическое получение IP-адреса по DHCP).

Подключаем MikroTik к электросети. Сетевым кабелем (патч-кордом) соединяем роутер и компьютер, вставив кабель в любой порт со второго по пятый. Интернет-кабель пока не подключаем к роутеру.

Шаг 1. Запускаем утилиту WinBox, проходим на вкладку “Neighbors”. В списке отобразится наш роутер. Нажимаем два раза правой кнопкой мыши на строку с MAC-адресом. Вводим данные для входа – по умолчанию логин “admin”, пароль пустой. Нажимаем “Connect”.

Если подключиться с данными по умолчанию не удалось, значит роутер уже был настроен до этого. Сбрасываем настройки до заводских с помощью кнопки Reset.

Шаг 2. При первом входе в меню настроек роутера открывается окно “RouterOS Default Configuration” – конфигурация роутера по-умолчанию, с настройками от производителя. Мы будем настраивать наш роутер вручную, поэтому заводскую конфигурацию удаляем. Для этого нажимаем “Remove Configuration”.

Шаг 3. После того как мы сбросили заводскую конфигурацию роутера сеанс WinBox должен перезапуститься. Далее смотрим – настройки нашего роутера сброшены, конфигурация абсолютно чистая, IP-адрес 0.0.0.0. Снова подключаемся к MikroTik.

Шаг 4. В целях безопасности сразу же изменим параметры для доступа к роутеру. Для этого создадим нового пользователя с правами администратора. Проходим на вкладку System > Users > “+” > Задаем имя и пароль > Group – full > OK.

Отключаем пользователя “admin” с помощью кнопки “X”.

Перезапускаем сеанс WinBox – Session > Disconnect.

Повторяем подключение к роутеру, но уже с новыми данными для входа.

Шаг 5. Настройка параметров локальной сети.

Объединим проводные и беспроводные интерфейсы роутера в единый Bridge. Проходим на вкладку Bridge > “+” > General > задаем имя > OK.

Новый Bridge создан.

Далее будем последовательно добавлять в созданный Bridge интерфейсы роутера. Для чего это делать? В обычных домашних роутерах (н-р, TP-Link, Mercusys) есть несколько портов, а также Wi-Fi интерфейс. Как правило первый порт всегда настроен как WAN-порт (для подключения кабеля интернет-провайдера). Остальные порты и беспроводной интерфейс уже объединены в единый Bridge, и эти настройки не изменить. В маршрутизаторах MikroTik другой подход. Абсолютно все порты в MikroTik равнозначны между собой, любой из них может быть настроен как WAN или LAN.

В нашем примере мы будем использовать первый порт для интернет-кабеля, а остальные порты и беспроводной интерфейс объединим в один сегмент.

Проходим на вкладку “Ports” и через кнопку “+” последовательно добавляем все интерфейсы (ether2, ether3, ether4, ether5). Также добавляем два беспроводных интерфейса wlan1 и wlan2 (по умолчанию wlan1 для частоты 2.4 Ггц, wlan2 для частоты 5 Ггц). Порт ether1 в Bridge не добавляем.

Все интерфейсы добавлены в единый сегмент. Закрываем окно Bridge.

Шаг 6. Далее настроим параметры IP-адресации в локальной сети. Проходим на вкладку IP > Addresses > Address list > “+”.

Присвоим роутеру IP-адрес из диапазона частных IP-адресов. Подсеть назначим 10-ю, маску подсети 24 (255.255.255.0). 24-битная маска позволит нам использовать до 254-х IP-адресов в нашей локальной сети.
IP-адрес роутера будет такой – 192.168.10.1/24.
В поле “Interface” выбираем созданный нами Bridge.
Нажимаем Apply. Поле “Network” заполнится автоматически.

Шаг 7. Настройка доступа в интернет.

Подключаем кабель интернет-провайдера в первый порт (ether1). Тип подключения в нашем примере – динамический IP-адрес. Это означает, что IP-адрес от интернет-провайдера мы получим автоматически. Для этого нужно настроить параметры DHCP.
Проходим на вкладку IP > DHCP Client > “+”. Создаем новый DHCP клиент.
Присваиваем интерфейс ether1.
DNS и NTP мы получаем от интернет-провайдера автоматически, поэтому галочки оставляем.
Add Default Route (маршрут по умолчанию) оставляем “yes”.
Нажимаем OK.

DHCP клиент мы настроили, но IP-адрес пока не получен.

Все дело в том, что мой интернет-провайдер LINKINTEL использует привязку по MAC-адресу. Как привязать новый MAC-адрес устройства: обратиться в тех. поддержку интернет-провайдера или самостоятельно сменить MAC-адрес маршрутизатора MikroTik на адрес прежнего роутера.

В нашем примере рассмотрим как можно самостоятельно изменить MAC-адрес MikroTik.
Проходим на вкладку “New Terminal”. В терминале прописываем команду
interface ethernet set ether1 mac-address=адрес прежнего роутера.
Нажимаем Enter.
Проверим, получили ли мы IP-адрес от провайдера и есть связь с интернетом. Вводим в терминале команду ping 8.8.8.8 (пингуем DNS Google). Пинг проходит, следовательно интернет на MikroTik уже работает.

Интерфейс ether1 (порт WAN) автоматически получил IP-адрес от интернет-провайдера.

Следует отметить, что на всех устройствах, подключенных к роутеру (в том числе компьютер) выхода в интернет пока нет. Для того, чтобы интернет стал доступен на всех устройствах нужно настроить DHCP- сервер, а также NAT и Firewall.

Шаг 8. Настройка DHCP – сервера.

Проходим на вкладку IP > DHCP Server > DHCP Setup. Интерфейсом назначаем созданный нами Bridge. Нажимаем “Next”.

Адресное пространство для раздачи IP-адресов (DHCP Addresses Space) оставляем как есть. Нажимаем “Next”.

Задаем адрес шлюза сети (Gateway for DHCP Network). В нашем случае шлюзом выступает роутер MikroTik, соответственно его адрес и прописан в строке. Оставляем как есть. Нажимаем “Next”.

Диапазон (пул) адресов, выдаваемых DHCP – сервером (Addresses to Give Out) оставляем без изменений. Поскольку адрес 192.168.10.1 занят нашим роутером, диапазон адресов будет от 2 до 254. Нажимаем “Next”.

DNS мы получаем от интернет — провайдера автоматически, поэтому данное значение оставляем без изменений. Нажимаем “Next”.

Время аренды IP-адреса (Lease Time) можем оставить как есть или изменить на свое значение. Выставим 30 минут, нажимаем “Next”.

DHCP – сервер успешно сконфигурирован. Нажимаем “OK”.

Компьютер, с которого мы производим настройку роутера, получил IP-адрес в локальной сети.

Шаг 9. Настройка NAT (Network Address Translation).

NAT преобразует частные IP-адреса устройств локальной сети в один публичный IP-адрес. Данный процесс позволяет иметь выход в интернет с любого устройства, подключенного к роутеру.

Проходим на вкладку IP > Firewall > NAT > “+”. В открывшемся окне в поле “Chain” оставляем значение “srcnat”, в поле “Out Interface” выбираем интерфейс ether1. Нажимаем “Apply”.

Далее проходим на вкладку “Action”. В поле “Action” выставляем значение “masquerade”. Нажимаем “OK”.

Настройка NAT успешно завершена. На компьютере уже должен заработать интернет.

Шаг 10. Настройка Wi-Fi.

По умолчанию беспроводные сети на роутерах MikroTik не защищены паролем. Как настроить параметры безопасности для беспроводной сети? Пройти на вкладку Wireless > Security Profiles > General. В открывшемся окне указаны параметры беспроводной сети по умолчанию.
В поле “Mode” выставляем значение “dynamic keys”.
В поле «Authentication Types» выбираем тип шифрования «WPA2 PSK».
В поле «WPA2 Pre-Shared Key» задаем пароль для сети Wi-Fi. Нажимаем «OK».

В нашем примере две беспроводные сети, ни одна из них не защищена паролем. Зададим для каждой сети свой определенный пароль. Для этого нужно будет создать два новых профиля безопасности.

Сначала создадим профиль для беспроводной сети 2.4 ГГц. С помощью кнопки “+” добавляем новый профиль. Задаем имя профиля и пароль для беспроводной сети. Нажимаем “OK”.

Далее создадим профиль безопасности для беспроводной сети 5 ГГц.

Профили безопасности для Wi-Fi сетей созданы.

Завершающим этапом будет настройка параметров беспроводных сетей. Сначала изменим параметры Wi-Fi сети 2.4 ГГц. Проходим на вкладку WiFi Interfaces > wlan1 > Wireless.

В поле “Mode” выставляем значение “ap bridge”.
В поле “Band” выбираем значение “2GHz-B/G/N”.
SSID – название беспроводной сети – назначаем новое имя.
В поле “Security Profile” выбираем созданный нами профиль для Wi-Fi сети 2.4 ГГц.
WPS Mode (режим WPS) можем оставить включенным или отключить (disabled) в целях безопасности. Нажимаем “OK”.

Далее настраиваем беспроводную сеть 5 ГГц (wlan2). Профилем безопасности назначаем профиль, созданный для сети 5 ГГц. Нажимаем “OK”.

Включаем оба интерфейса с помощью кнопки “V”.

Мы успешно настроили параметры беспроводных сетей. В списке доступных к подключению Wi-Fi должны появиться две созданные нами сети – каждая со своим названием и собственным паролем.

На этом настройка MikroTik hAP ac2 с нуля, без использования заводской конфигурации, завершена.

Маршрутизатор(роутер) MikroTik hAP ac2 занимает исключительную позицию лидера для выбора в домашнем и бизнес сегменте.

MikroTik hAP ac² (модель RBD52G-5HacD2HnD-TC) — это двухдиапазонный Wi-Fi роутер на 5 гигабитных сетевых портов. Он также оснащен USB портом для подключения внешних накопителей или 3G/4G модемов.

Роутер отличается поддержкой аппаратного шифрования IPsec и возможностью установки пакета The Dude Server. The Dude Server предназначен для мониторинга различных устройств в сети, серверов, сервисов, установки связей между ними и оповещении при сбоях.

Краткие характеристики:

• Частота Wi-Fi: 2.4 и 5 ГГц
• Скорость Wi-Fi: 300 и 866.7 Мбит/с (стандарт AC — 866.7 Мбит/с, стандарт N — 300 Мбит/с)
• Частота процессора: 716 МГц
• Оперативная память: 128 Мб
• Порты:
  • 5 × 1 Гбит/с LAN
  • 1 × USB 2.0

Универсальный корпус позволяет установить MikroTik hAP ac² на столе вертикально, горизонтально или повесить на стену.

Вертикальная установка		Горизонтальная установка		Установка на стену

Полноразмерный порт USB 2.0 на корпусе роутера предназначен для подключения внешних накопителей или 3G/4G модемов.

Возможности MikroTik hAP ac2

Настройка MikroTik hAP ac2

1. 1. Обновление прошивки
   2. Настройка локальной сети LAN
   3. Настройка DHCP сервера
   4. Настройка интернета
   5. Настройка WiFi
   6. Проброс портов
   7. Настройка Firewall

Подключение к роутеру MikroTik через WinBox

Эта утилита обнаружит устройство независимо от назначенного ему адреса. Чаще всего это 192.168.88.1, но и встречаются варианты когда ip адрес = «0.0.0.0». В этом случае подключение происходит по MAC адресу устройства. Кроме этого Winbox отображается все найденные устройства MikroTik в сети, а также дополнительную информацию(версия прошивки, UpTime):

данные для подключения по умолчанию

• пользователь = «admin»
• пароль = «»(пустой)

Установить пароль на роутер

Первым важным делом настройки нового роутера это обновление пароля администратора. Случаи бывали разные, это пункт просто нужно выполнить.

Настройка находится в System->Users

добавление нового пользователя с полными правами:

/user add name="admin-2" password="PASSWORD" group=full

деактивация старого пользователя:

/user set [find name="admin-2"] disable="yes"

Обновление прошивки в MikroTik

Одной из важной задачей при вводе в эксплуатацию нового устройства MikroTik: маршрутизатора(роутера), коммутатора(свчитча) или точки доступа WiFi это обновление прошивки. Чаще всего это имело рекомендованный характер, но недавний инцидент с “back door” в категории long-term указал но то, что актуальность прошивки на устройствах MikroTik имеет критический характер.

Настройка находится в System->Packages

Действия в кнопке Download&Install произведут закачку выбранной редакции прошивки и автоматическую перезагрузку устройства. Установка будет произведена в момент загрузки. Не выключайте устройство до полной перезагрузки и обеспечьте стабильное питание электросети при обновлении прошивки.

Редакции прошивок MikroTik

• long term(bug fix only) – самая стабильная версия. Рекомендовано для производственных сред!
• stable(current) – long term плюс поддержка новых функций. Новые технологии это всегда хорошо.

Другие редакции не рекомендуется устанавливать в рабочие устройства, т.к. это может привести к нежелательным последствиям.

Важным дополнением в обновлении прошивки является обновление Current Firmware – это аппаратная прошивка, аналог BIOS в компьютере.

Настройка находится тут System->Routerboard

Изменения вступят в силу после перезагрузки устройства(System→Reboot).

Настройка локальной сети MikroTik LAN

Данная настройка состоит из следующих ключевых этапов:

1. Объединение все локальных портов в bridge;
2. Настройка локальногоIP адреса для MikroTik;
3. Настройка DHCP сервера.

Настройка MikroTik bridge

Стоит учитывать, что такое объединение программное и управляется CPU. Этот факт важен при значительных нагрузках на CPU.

Настройка находится в основном меню Bridge

добавление нового bridge

/interface bridge add name=bridge-1

добавление портов(LAN, VLAN, WLAN и тд)

/interface bridge port add bridge=bridge-1 hw=yes interface=ether2
/interface bridge port add bridge=bridge-1 hw=yes interface=ether3
/interface bridge port add bridge=bridge-1 hw=yes interface=ether4
/interface bridge port add bridge=bridge-1 hw=yes interface=ether5

/interface bridge port add bridge=bridge-1 interface=wlan1
/interface bridge port add bridge=bridge-1 interface=wlan2

Hardware Offload — аппаратная поддержка bridge отдельным чипом. Список поддерживаемых устройств.

По итогам, закладка Bridge->Ports должна иметь вид:

Назначение локального IP адреса

После добавления портов в bridge нужно назначить статический IP адрес и правильней всего это указать на интерфейс bridge1. Частой ошибкой можно встретить конфигурацию, когда сетевые настройки назначаются на LAN интерфейс, к которому подключён up link или ПК, с которого производится настройка MikroTik.

Настройка находится в IP->Addresses

установка ip адреса на выбранный интерфейс

/ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0

Настройка DCHP в MikroTik hAP ac2

Будет состоять из 3-ёх пунктов:

Определение диапазона назначаемых ip адресов

Настройка находится в IP->Pool

/ip pool add name=pool-1 ranges=192.168.0.2-192.168.0.254

Задание сетевых настроек для клиента

Настройка находится в IP->DHCP Server->Networks

/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24

Общие настройки MikroTik DCHP сервера

Настройка находится в IP->DHCP Server->DHCP

/ip dhcp-server add address-pool=pool-1 disabled=no interface=ether-1 lease-time=1w name=server-1

Дополнение: если DHCP нужно применить к одному из портов bridge, то в качестве интерфейса нужно указать именно этот bridge.

Add ARP For Leases — добавляет MAC адрес устройства в таблицу ARP, которому был выдан ip адрес. Можно использовать в качестве блокировки статических ip. Без присутствия соответствующего MAC в таблице ARP пакеты с данного устройства не будут обрабатываться.

Настройка Интернета на роутере MikroTik hAP ac2

Данная настройка состоит из двух пунктов: настройки подключения на определенном порту, а также активация NAT(masquerade).

!!! Роутеры MikroTik не имеют заведома определённых портов LAN и WAN, эта группировка и назначение отводится для специалиста, который занимается настройкой маршрутизатора MikroTik.

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no 
interface=ether1

/ip address add address=81.21.12.15/27 interface=ether1 network=81.21.12.0

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip route
distance=1 gateway=81.21.12.1

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether-1 name=
pppoe-out password=PASSWORD use-peer-dns=yes user=USER

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" 
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik 
wpa2-pre-shared-key=12345678

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce 
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=Mikrotik 
wireless-protocol=802.11

/interface wireless
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=
    20/40/80mhz-Ceee disabled=no frequency=auto mode=ap-bridge 
    security-profile=profile1 ssid=TopNet

Проброс портов в роутере MikroTik hAP ac2

Настройка находится в IP->Firewall->NAT

/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.10.10.52 dst-port=80,443 
in-interface=ether1 protocol=tcp to-addresses=192.168.0.2

Настройка Mikrotik FireWall на роутере MikroTik hAP ac2

Настройка находится в IP->Firewall

Разрешение для уже установленных соединений

/ip firewall filter add action=accept chain=forward connection-state=established,related

/ip firewall filter add action=accept chain=in connection-state=established,related

Доверительные правила для локальной сети

/ip firewall filter
add action=accept chain=input in-interface=bridge1
add action=accept chain=forward in-interface=bridge1

Разрешить ICMP запросы с WAN интерфейсов

/ip firewall filter add action=accept chain=in protocol=icmp in-interface=pppoe-out1

Удалить все входящие пакеты с WAN интерфейсов

/ip firewall filter add action=drop chain=input in-interface=pppoe-out1

Удалить все пакеты в состоянии invalid

/ip firewall filter add action=drop chain=forward connection-state=invalid

/ip firewall filter add action=drop chain=input connection-state=invalid

С расширенной версией по настройке Firewall в роутере MikroTik можно ознакомиться в статье Настройка Firewall в MikroTik, защита от DDOS атаки.

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

Хороший роутер: Четырёхядерный CPU IPQ-4018 с частотой 716 мГц и архитектурой ARM, 128 mb ОЗУ, 2.5 dbi антены, 5 гигабитных Ethernet портов, поддержка 802.11AC wave-2. Всё по феншую

Настроим MikroTik hAP AC^2 для ByFly и Wi-Fi на нём. Инструкция подойдёт для любого провайдера с PPPoE (A1, Ростелеком например). Для начала соединяем первый порт MikroTik c первым портом терминала Белтелеком (ByFly). Интернет появится у вас сразу, но будет нюанс — появится также и двойной (а может и тройной) NAT. Если вы выкупаете для своего офиса статический IP это не желательно — работа некоторых потребителей интернета в такой сети будет затруднена. Впрочем если вы не выкупали статический IP — двойной или тройной NAT у вас, уже не имеет значения и вы можете сразу перейти к настройке Wi-Fi:

Покуда вы знакомитесь с этой инструкцией и у вас есть интернет, качаете WinBox последней версии от сюда если у вас Windows: https://mikrotik.com/download .Если у вас Mac то есть та же утилита WinBox4Mac только запускаемая из под wine: https://joshaven.com/resources/tools/winbox-for-mac/

Настройка интернета на роутере MikroTik hAP AC^2

Запускаем WinBox и находим в сети роутер с IP 192.168.88.1. Зацепить можно не только по IP но и по MAC, что мы и сделаем:

Первое, что надо сдалать зайти IP/DHCP Client и увеличить метрику (Default route distance):

Это позволит при замене терминала или его сбросе на заводские настройки сразу иметь интернет на роуторе и у пользователей если вы настроите интернет через PPPoE client:

 Иногда это позволяет выиграть время для устранения сбоя.

Пока интернет работает можно обновить ПО на роутере:

Нажимаем Check For Updates:

Проверяем обновления Long Term: Самые надёжные и провереные обновления с минимумом ошибок.

После установки обновлений и перезагрузки роутера создадим PPPoE клиент:

Напишем название PPPoE клиента, и ethernet интерфейс на который его навесим:

 Запишем логин, пароль от соединения с интернетом:

И поставим галочку Use Peer DNS если вы не собираетесь резервировать интернет соединение с помощью другого интернет провайдера. (Через резервного провайдера DNS ByFly могут быть недоступны) 

Добавляем созданый интерфейс ByFly в Interface List WAN:

Проще всего копированием и редактированием ether1 в листе WAN. 

Это действие добавляет scr-nat -> masquarade на интерфейс ByFly и блокирует подключение из интернета к нему, что уменьшит число DDOS атак на ваш роутер.

Теперь можно позвонить на ByFly (телефон 123) и попросить чтобы ваш терминал (Промсвязь или Huawei) перенастроили из роутера в бридж. После этого если у вас всё правильно напротив интерфейса ByFly загорится буква R:

Интернет по кабелю уже должен работать!

Настройка Wi-Fi на роутере MikroTik hAP AC^2

Для начало настроим профиль где укажем пароль сети и алгоритмы шифрования: От использования WPA PSK и tkip в целях улучшения производительности и защищённости сети имеет смысл отказаться. Если хотите обеспечить максимальную совместимость — галочки надо поставить всё же.

Shared Key 12345678 указан лишь для примера. Лучшие пароли содержат буквы в разном регистре, цифры и спец символы.

Назовём нашу сеть как-нибудь: MikroTik и выберем регион:

После нажатия кнопочки Advanced Mode можно увидеть больше настроек: можно выбрать Security Profile. 

1. Можно включить «WMM support» чтобы sip телефоны меньше хрюкали через Wi-Fi, если они есть в сети. Если их нет, то включение может немного уменьшить производительность.
2. Можно выключить WPS mode и увеличить этим защищённость вашей сети. Если у вас один Apple дома, выключайте — iPhone, iPad и Mac всё равно не поддерживают этот протокол.
3. В старых версиях Router OS с фиксированными зачениями Frequency лучше работал Wi-Fi. В новых, возможно, с значением Auto работает лучше.
4. Если сеть общественная — имеет смысл выключить передачу данных между клиентами сняв галочку Default Forward. Это увеличит ёмкость сети.
5. Использование Band B/G/N позволит сделать сеть максимально совместимой. Некоторые клиенты с поддержкой N протокола не могут соединиться с сетью в которой отключён B/G.

1. Если у вас старые iPad 1, 2 iPad mini имеет смысл включить длинную преамбулу. Возможно в других устройствах это тоже уменьшит торможение Wi-Fi.
2. Мощность передатчика в hAP AC lite, hAP AC, hAP AC^2 не имеет смысл регулировать. Как правило это уменьшит производительность и совместимость
3. Hw. Protection Mode: Данный пункт может помочь в решении проблемы скрытого узла, если указать «rts cts».
   Совсем кратко: 802.11 (он же вифи) – это единая среда передачи данных (Вспомните устройство ХАБ), а в стандарте 802.11 указанно, что клиенты сами определяют между собой, кто и когда будет производить запись, НО есть один нюанс это условие будет работать, только если клиенты видят друг друга напрямую. Если же два клиента начнут писать одновременно, то мы получаем коллизию.

 Клиенты А и B видят друг друга, а А и С нет.

Включение «rts cts» помогает уменьшить количество лагов в сетях с большим количеством клиентов.

Аналогично настраивается 5гГц инетрфейс:

Это позволит получить роуминг между сетью 2.4 гГц и 5 гГц. Как это будет работать можно почитать тут.

Если вам нужно больше настроек Wi-Fi то можно почитать эту статью: 

Настройка роутера MikroTik для дома и малого офиса завершена. Возможно вы захотите обратиться за платной настройкой к нам.

Если вы хотите использовать MikroTik в средней локальной сети необходимо подумать как ограничить трафик пользователей: настройка ограничений скорости для пользователей на MikroTik с помощью динамического шейпинга.

Для Wi-Fi можно также настроить мак фильтрацию на MikroTik

Настройка маршрутизаторов на RouterOS 7 описана в статье: Настройка маршрутизатора MikroTik с нуля (RouterOS 7).

Ниже представленный материал описывает пошаговую настройку маршрутизатора MikroTik для дома или небольшого офиса от момента его подключения к электрической розетке до момента, когда роутер можно убрать на свое рабочее место и благополучно о нем забыть. Конфигурация включает в себя настройка проводных сетевых интерфейсов, работающих в локальной сети, настройка для работы с интернетом провайдера, настройка Wi-Fi, минимальная необходимая конфигурация Firewall и другие настройки для безопасной работы маршрутизатора и устройств подключенных к нему.

Настройка будет производиться на примере маршрутизатора MikroTik hAP ac^2 (RBD52G-5HacD2HnD), но другие устройства настраиваются точно так же, т.к. все маршрутизаторы работают под управлением единой системы RouterOS. Изначально настраиваемый экземпляр имел версию RouterOS 6.44. Настройка описывает подключение абонентов к сети интернет по технологии Ethernet.

• Подготовка к настройке
• Первое подключение к маршрутизатору MikroTik
• Настройка пользователей в MikroTik
• Настройка локальной сети
• Настройка интернет на MikroTik
• Обновление RouterOS
• Работа с пакетами
• Настройка синхронизации времени
• Настройка Wi-Fi
• Дополнительные настройки
• Заключение

Подготовка к настройке

Первым делом обзаводимся проводом UPT5 (патч-кордом), которым компьютер будет подключаться к маршрутизатору, к сожалению, производитель не комплектует свои устройства такой мелочью. Вторым, скачиваем программу WinBox с сайта MikroTik (прямые ссылки для версии WinBox_x32 и WinBox_x64). Маршрутизатор можно настраивать через Web интерфейс, через командную строку при помощи Telnet или SSH, но WinBox самый наглядный и удобный инструмент для настройки (особенно для не подготовленного пользователя). Третье, в настройках сетевой карты компьютера проверить, а по необходимости установить, получение IPv4 адреса по DHCP. Для компьютеров на ОС Windows это делается в Панель управления -> Все элементы панели управления -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> правой клавишей на Подключение по локальной сети -> Свойства -> IP версии 4 (TCP/IP) (Галочка должна быть установлена!!!) -> Свойства, установить Получить IP-адрес автоматически и Получить адрес DNS сервера автоматически.

Первое подключение к маршрутизатору MikroTik

Провод провайдера, по которому приходит интернет, не подключаем!!! Это будет сделано позже.

Патч-кордом подключаем компьютер к устройству, на маршрутизаторе, для подключения используем порты со 2 по 5. Включаем устройство в электрическую розетку. Запускаем WinBox. После загрузки маршрутизатора в WinBox во вкладке Neighbors мы увидим наше устройство. Нажимаем на него, в поле Login пишем пользователя admin, поле Password оставляем пустым, кнопка Connect.

При первом входе на устройство появляется сообщение с настройками роутера «из коробки». Те, кто хочет попробовать быстро настроить устройство, могут нажать кнопку OK и далее попробовать настроить свое устройство через режим Quick Set, у кого-то это получится, у кого-то нет, кто-то будет крыть устройство, компанию и тех, кто посоветовал это приобрести на чем свет стоит. Те, кто нажал кнопку OK и у него ничего не получилось сбрасывает устройства к заводским настройкам: System -> Reset configuration -> Do Not Backup -> Reset Configuration. Все остальные и вернувшиеся после сброса устройства читают дальше

При первом входе в появившемся окне нажимаем кнопку Remove Configuration, это удалит все заводские настройки. Вот теперь, это абсолютно не настроенное устройство, мы будем конфигурировать под себя.

Настройка пользователей в MikroTik

После сброса конфигурации обычно происходит отключение от текущей сессии, в WinBox на странице авторизации в списке устройств отображается настраиваемый маршрутизатор. Т.к. назначенного адреса теперь у устройства нет, входим по MAC адресу нажав на соответствующее поле, Login: admin, Password: оставляем пустым, далее Connect.

Безопасность на первом месте, поэтому сразу меняем пароль пользователя admin, меню System -> Users, вкладка Users, правой клавишей на пользователе Password... и здесь же создаем нового пользователя с правами администратора, под которым будем работать постоянно, нажимаем + (Add), вводим имя нового пользователя, в выпадающем меню Group выбираем full, вводим пароль и подтверждение пароля, OK. В верхнем меню нажимаем Session -> Disconnect. Сложность пароля оставляю на совесть каждого, но лучше задать достаточно сложный пароль.

Повторяем подключение по MAC адресу, но уже под созданным новым пользователем. Если все хорошо, то опять переходим к списку пользователей и отключаем учетную запись admin, предварительно выбрав ее и нажав красный крест. Изначально мы не отключили учетную запись администратора, чтобы если под новой учетной записью войти не удастся, то можно было бы зайти под админом. Пароль администратора был задан на случай, если учетная запись будет, по каким-то причинам включена, то защита паролем уже будет стоять.

Настройка локальной сети

В боковом меню выбираем Bridge. На вкладке Bridge нажимаем +. В открывшемся окне в поле Name вводим удобное для понимания имя и нажимаем OK.

Для чего это делать? В обычном домашнем роутере, например, D-Link DIR-300, есть пять ethernet портов + Wi-Fi, четыре порта подписаны от 1 до 4, они предназначены для проводного подключения домашних устройств. Эти четыре порта объединены в один Bridge, в который объединен и Wi-Fi, устройства, подключенные к этим портам и Wi-Fi, объединяются в локальную сеть. В устройствах MikroTik другой подход, каждый проводной порт и каждый интерфейс Wi-Fi может быть настроен отдельно, и то, что на роутере сзади написано первый порт интернет, а со второго по пятый это локальная сеть, является только для конфигурации по умолчанию, которую мы успешно удалили В MikroTik не обязательно первый порт может служить для выхода в интернет, настроить для этого можно любой порт, или два отдельных порта, в случае использования двух провайдеров. Но мы пока рассматриваем классический пример, созданный Bridge будет объединять проводные и беспроводные порты для локальной сети.

Переходим на вкладку Ports. На вкладке Ports нажимаем + и последовательно по одному порту добавляем в созданный Bridge порты, к которым будут подключаться устройства локальной сети. Первый порт трогать не будем, он будет для подключения интернет, добавляем порты ethernet2, ethernet3, ethernet4, ethernet5. Сюда же добавляем интерфейсы wlan1 и, если есть, wlan2 (по умолчанию в устройствах MikroTik wlan1 это адаптер на 2.4GHz, wlan2 адаптер на 5GHz).

В соответствующие поля выбираем нужный интерфейс и созданный нами Bridge, нажимаем OK. Затем опять +, пока не добавим все необходимые интерфейсы.

Закрываем окно Bridge. В боковом меню открываем IP -> Addresses. Установим нашему маршрутизатору IP адрес в нашей маленькой локальной сети. В окне Address List нажимаем +. В открывшемся окне вносим:

• Address — IP адрес маршрутизатора, через / (прямой слеш) указываем маску подсети. Например, для нашей тестовой конфигурации будет 192.168.111.1/24. Префикс /24 соответствует маске 255.255.255.0 и позволяет использовать 254 адреса в локальной сети.
• Network — в данном случае пропускаем, после нажатия кнопки OK, данное поле будет заполнено само.
• Interface — выбираем созданный нами Bridge.

Нажимаем OK, закрываем окно Address List и переходим к настройке сервиса, выдающего IP адреса устройствам в локальной сети, а вместе с ними минимальный набор сетевых настроек — DHCP сервера. В боковом меню переходим IP -> DHCP Server. В открывшемся окне нажимаем кнопку DHCP Setup. В открывшемся окне последовательно выбираем/заполняем необходимые поля.

DHCP Server Interface — интерфейс, на котором будет работать данная конфигурация DHCP сервера, выбираем наш созданный ранее Bridge. Нажимаем Next.

DHCP Address Space — используемое адресное пространство для раздачи адресов, указывается как Network/Mask. Network мы могли видеть ранее, когда устанавливали IP адрес маршрутизатору, мы его не заполняли, но он установился сам, для данной конфигурации используем его. Mask — маска подсети, этот параметр тоже использовался ранее при назначении IP адреса маршрутизатору. Если ничего не понятно, что все это и зачем, то стоит почитать немного про сети, если лень, то делай как я :))) Для нашей конфигурации — это будет выглядеть так: 192.168.111.0/24. Нажимаем Next.

Gateway For DHCP Network — адрес маршрутизатора в сети. Здесь всё просто, поскольку мы настраиваем устройство как маршрутизатор, и он у нас единственный в сети, то в поле записываем выданный нами ранее адрес маршрутизатора — 192.168.111.1 (Здесь маска сети не указывается!). Нажимаем Next.

Addresses to Give Out — диапазон IP адресов, выдаваемых DHCP сервером. Используемая маска /24 ограничивает нас количеством в 254 адреса, поскольку адрес 192.168.111.1 уже занят, то он не должен попадать в этот диапазон, если в сети нет других статических адресов, то можно использовать весь диапазон от 2 до 254. Описываемая конфигурация будет ограничиваться только сотней выдаваемых сервером адресов, 192.168.111.101 - 192.168.111.200. Нажимаем Next.

DNS Servers — адрес(а) сервера(ов) предназначенных для получения IP адресов в сети по имени хостов/доменов. Тоже всё просто, если в сети нет отдельных серверов DNS, сервера провайдера не считаются, то это наш маршрутизатор. Для нашей конфигурации это 192.168.111.1. Нажимаем Next.

Lease Time — Время аренды адреса. По истечении этого времени если адрес не используется, то он освобождается и может быть назначен другому устройству, если адрес используется, то аренда продлевается на время Lease Time. Одного часа достаточно. Next и нам сообщают об успешной настройке DHCP сервера.

Переходим на вкладку Networks. Дважды нажимаем на созданной конфигурации, в поле NTP Servers (серверы времени) записываем адрес нашего маршрутизатора. Теперь устройства, поддерживающие данную настройку, будут синхронизировать свои часы с маршрутизатором.

Перейдя на вкладку Leases можно увидеть, что одно устройство получило IP адрес в локальной сети, это компьютер, с которого происходит настройка маршрутизатора.

Настройка интернет на MikroTik

Закрываем все окна в WinBox. В боковом меню открываем Interfaces. Дважды нажимаем на интерфейсе ether1, в поле Name пишем ehter1-wan, сохраняем нажав OK. Переименование сделано для удобства чтения конфигурации в будущем.

Переходим на вкладку Interface List, нажимаем кнопку Lists. В открывшемся окне создадим несколько новых списков интерфейсов. Списки удобно использовать что бы не добавлять в разных настройках несколько интерфейсов, достаточно использовать в настройке список, а необходимые интерфейсы добавлять уже в этот список. Последовательно добавляем списки нажав +.

• list-wan — список интерфейсов, подключенных к провайдерам. В описываемой конфигурации в списке будет один интерфейс, но список может оказаться полезным при использовании подключений VPN или подключении второго канала интернет.
• list-discovery — список интерфейсов, которые будут использоваться службами Neighbor Discovery и MAC Server. Используется для безопасности нашего устройства.

В списках должно быть две новых записи:

Закрываем окно редактирования Interface Lists. Добавляем в созданные списки необходимые интерфейсы.

• Интерфейс ether1-wan в список list-wan
• Созданный ранее Bridge интерфейс bridge-home в список list-discovery

В итоге должно получиться так:

Обезопасим маршрутизатор и устройства локальной сети от доступа к ним из сети интернет. Открываем окно IP -> Firewall. На вкладке Filter Rules нажимаем + и добавляем новое правило. В открывшемся окне на вкладке General добавляем:

• Chain — Input
• In Interface List — list-wan
• Connection State — отмечаем в окне первый не подписанный квадрат, он выделится восклицательным знаком, далее выбираем established и related

На вкладке Action в разделе Action выбираем drop. Нажимаем OK.

Созданное правило будет читаться так: Пакеты, приходящие на интерфейсы из списка list-wan не относящиеся (восклицательный знак в поле Connection State) к уже установленным и связанным подключениям будут отброшены. Цепочка (Chain) Input действует только на входящие пакеты, относящиеся к интерфейсам маршрутизатора. Действие (Action) drop отбрасывает все пакеты, попадающие под данное правило и в ответ, не отсылает никаких сообщений.

Создадим второе правило, точнее создадим его на основе первого. На созданном ранее правиле нажимаем дважды в открывшемся окне кнопку Copy, откроется окно создания нового правила, но с настройками как у предыдущего. В поле Chain нового правила выставляем forward. Закрываем оба правила клавишей OK.

Второе правило будет похоже на первое за тем исключением, что оно действует только на пакеты, приходящие на интерфейсы из списка list-wan, но которые транслируются дальше на устройства локальной сети.

Два этих правила, это минимальная необходимая настройка Firewall для защиты от несанкционированного доступа из сети интернет. Весь остальной трафик будет никак не ограничен маршрутизатором, но поскольку настройка Firewall это отдельная большая тема, то описывать ее в рамках этой статьи не будем.

Предоставляем доступ в интернет устройствам подключенных к локальной сети обслуживаемой маршрутизатором с помощью службы NAT. Переходим на вкладку NAT, добавляем новое правило +. В открывшемся окне в поле Chain выставляем srcnat, в поле Out Interface List — list-wan.

На вкладке Action в разделе Action выбираем masquerade. Нажимаем OK.

Настраиваем DNS. В боковом меню переходим IP -> DNS. В качестве используемых внешних серверов DNS будем использовать сервера Google. В открывшемся окне в поля Servers вписываем IP адреса 8.8.8.8 и 8.8.4.4. Что бы наш маршрутизатор работал как DNS сервер для устройств в локальной сети включаем Allow Remote Requests. Нажимаем OK.

Некоторые провайдеры используют привязку MAC адреса интерфейса на своем оборудовании, поэтому перед подключением необходимо позвонить провайдеру и сообщить о том, что у вас поменялось устройство.

Если звонок провайдеру вызывает какие-либо проблемы, то можно сменить MAC адрес на интерфейсе, к которому подключается провод провайдера. К сожалению, в настройках интерфейсов нельзя сменить MAC адрес изменив соответствующее поле, но он меняется через команду в консоли. В боковом меню нажимаем New Terminal и в открывшемся окне вводим:

/interface ethernet set ether1-wan mac-address="00:00:00:00:00:00"

Соответственно вместо 00:00:00:00:00:00 вводим необходимый MAC адрес.

Теперь подключаем провод провайдера в порт 1 нашего устройства!

Назначаем IP адрес нашему интерфейсу, к которому будет подключен провод провайдера, в нашем случае это ether1-wan. IP адрес может быть назначен двумя способами.

1. Получение IP адреса от оборудования провайдера по DHCP.
2. Если первый вариант провайдером не поддерживается, то настройки вносятся в оборудование вручную.

Как назначается IP адрес обычно написано в договоре или памятке к договору, заключаемому с провайдером. Если нет уверенности, то узнать это можно в службе поддержки провайдера. Рассмотрим оба варианта.

Вариант #1. Получение IP адреса абонентским оборудованием происходит от оборудования провайдера по DHCP. Переходим в боковом меню IP -> DHCP Client. В открывшемся окне выбираем интерфейс ether1-wan, отключаем Use Peer DNS (мы будем использовать свои DNS сервера, настройка выше) и Use Peer NTP (мы настроим синхронизацию времени позднее), Add Defaut Gateway выставляем yes. Нажимаем OK.

При успешном получении во вкладке IP -> Addresses можно увидеть IP адрес устройства. Напротив, полученного адреса указана буква «D» означающая, что адрес получен динамически.

Вариант #2. Если настройки провайдера необходимо указать вручную, то назначение IP адреса происходит по аналогии как мы назначали адрес интерфейсу Bridge ранее. Переходим во вкладку IP -> Addresses, нажимаем +. В открывшемся окне выбираем WAN интерфейс ether1-wan, вводим IP адрес с маской и заполняем поле Network.

Здесь рассмотрим поподробнее. В договоре провайдера маска обычно записывается в виде X.X.X.X (например, 255.255.255.0), а в MikroTik ее надо записать префиксом /Y (например, /24), что бы перевести одно в другое, а заодно рассчитать поле Network воспользуемся IP калькулятором (online калькулятор). В поле IP адрес, вносим адрес выданный провайдером, в поле маска подставляем подходящее значение, нажимаем Подсчитать.

В полученном расчете нам понадобятся Bitmask и Network. Для описываемой конфигурации в поле Address вводим IP адрес с префиксом маски 10.33.1.249/26, в поле Network вводим 10.33.1.192. Нажимаем OK.

После ввода IP адреса добавляем маршрут по умолчанию (при получении IP адреса по DHCP маршрут добавляется сам, т.к. был выставлен Add Default Gateway = yes). В боковом меню переходим IP -> Route, нажимаем +. В открывшимся окне в поле Dst. Address пишем 0.0.0.0/0, это значит все доступные адреса, в поле Gateway шлюз, указанный в настройках провайдера 10.33.1.193. Нажимаем OK.

После этого должен заработать интернет на маршрутизаторе и устройствах локальной сети. Бывает, что устройство необходимо перезагрузить, после чего все начинает работать.

Обновление RouterOS

RouterOS, как и любое программное обеспечение может содержать ошибки, некоторые из них мелкие и не мешают работе, но могут быть критические ошибки, которые могут повлиять на работу не только самого маршрутизатора, но и устройств, подключенных к нему. После того, как заработает интернет необходимо обновить версию RouterOS до последней. В боковом меню переходим System -> Packages -> Check For Update, в строке Channel выбрать stable и нажать Check For Update. В строке Installed Version написана текущая версия установленной RouterOS, в строке Latest Version последняя версия доступного ПО. Если новая версия RouterOS найдена, то будут доступны две кнопки Download и Download&Install, нажимаем на последнюю. После скачивания устройство будет перезагружено для обновления, в это время не рекомендуется отключать его от электрической сети.

Компания MikroTik постоянно выпускают обновления на свои устройства, без обновлений не остаются и старые устройства, поэтому рекомендуется периодически заходить в роутер и проверять доступность новой версии ПО.

Работа с пакетами

Ранее в настройках DHCP сервера мы установили настройку синхронизации времени устройствами локальной сети с маршрутизатора, но проблема в том, что в RouterOS нет сервера времени (NTP server). Эта проблема решается установкой дополнительного пакета. Переходим на сайт MikroTik в раздел Software. Нам известно, что hAP ac^2 работает на процессоре архитектуры ARM (посмотреть архитектуру процессора устройства можно в System -> Resources пункт Architecture Name). Находим наше устройство в списке раздела ARM. Скачиваем архив из подраздела Extra packages для установленной нашей версии RouterOS, как видно из раздела обновления описанного выше, это версия 6.47.7 ветка Stable.

Распаковываем полученный архив, находим в распакованном каталоге файл ntp-xxx-yyy.npk (xxx — версия RouterOS, для которой подходит данный пакет, yyy — архитектура процессора). Версии установленной RouteOS и файла обязательно должны совпадать!

В WinBox в боковом меню открываем раздел Files. Перетаскиваем файл ntp-xxx-yyy.npk в корень раздела Files.

Перезагружаем маршрутизатор System -> Reboot. После установки и перезагрузки файл ntp.npk будет удален автоматически и появится в списке установленных пакетов System -> Packages.

Что бы не занимать системные ресурсы маршрутизатора можно отключить некоторые пакеты. В домашних условиях пакеты hotspot и mpls не нужны, выделяем их и нажимаем кнопку Disable, если используемый маршрутизатор без встроенного Wi-Fi, то можно отключить пакет wireless. Т.к. данные пакеты являются частью RouterOS удалить их нельзя, а вот установленные пакеты, как пакет ntp из примера выше, можно не только отключать, но и удалить, для этого используется кнопка Uninstall. После пометки необходимых пакетов, окончательное отключение/удаление происходит после перезагрузки роутера.

Настройка синхронизации времени

Настройка сервера времени (NTP server). Для настройки сервера времени на устройствах MikroTik необходима установка пакета ntp из дополнительного архива пакетов Extra Packages (установка описана выше в данной статье).

Сервер времени включается в разделе System -> NTP Server, вся задача заключается только в выставление флажка на пункте Enabled и нажатии кнопки OK.

Настройка синхронизации времени с внешним источником (NTP Client).

Настройка NTP Client’a может быть выполнена двумя способами.

1. В системе не установлен пакет ntp из дополнительного архива пакетов Extra Packages
2. В системе установлен пакет ntp из дополнительного архива пакетов Extra Packages

Вариант #1. Данный раздел доступен только если не установлен дополнительный пакет NTP. Переходим System -> SNTP Client. Выставляем настройки:

• Enabled — вкл.
• Primary NTP server — time.google.com
• Secondary NTP server — time1.google.com

Вариант #2. Данный раздел доступен только если установлен дополнительный пакет NTP. Переходим System -> NTP Client. Выставляем настройки:

• Enabled — вкл.
• Mode — unicast
• Primary NTP server — time.google.com
• Secondary NTP server — time1.google.com

Настройка времени на устройстве. System -> Clock, отключаем Time Zone Autodetect, выставляем правильный часовой пояс и проверяем правильное ли выставлено время.

Настройка Wi-Fi

Настройка Wi-Fi производится в разделе Wireless. Сначала создаем профиль безопасности, в котором описывается как устройства будут подключаться к точке доступа. Открываем вкладку Security Profiles -> +. В открывшемся окне указываем имя профиля в поле Name для удобства чтения конфигурации, в Authentication Types выбираем только WPA2 PSK (WPA PSK выбираем только в случае если какое-либо подключаемое устройство не умеет работать с WPA2), Unicast Ciphers — aes ccm, Group Chiphers — aes ccm, в поле WPA2 Pre-Shared Key вводим пароль для подключения к точке доступа, включаем самый нижний раздел Disable PMKID. Сохраняем новый профиль.

Переходим на вкладку WiFi Interfaces. В hAP ac^2 в списке два беспроводных интерфейса wlan1 и wlan2. Интерфейс wlan1 это модуль на 2.4GHz, wlan2 на 5GHz, настраиваются они раздельно. Дважды нажимаем на интерфейсе wlan1, переходим на вкладку Wireless, сбоку нажимаем кнопку Advanced Mode. Заполняем настройки:

• Mode — ap bridge
• Band — 2GHz-BGN
• Channel Width — 20MHz
• Frequency — рабочий канал, частота 2412MHz = channel 1, 2417MHz = channel 2, и т.д. Выбираем который посвободней.
• SSID — имя точки доступа, например, myhomewifi
• Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
• WPS mode — disabled
• Frequency Mode — manual-txpower
• Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.

Нажимаем кнопку Apply и Enable. Открываем в телефоне/планшете/компьютере раздел WiFi и пробуем подключиться к созданной точке доступа.

Заходим в интерфейс wlan2. Переходим в Advanced Mode, настройка аналогичная настройке интерфейса wlan1.

Заполняем настройки:

• Mode — ap bridge
• Band — 5GHz-ANAC
• Channel Width — 20MHz
• Frequency — рабочий канал, частота 5180MHz = channel 36, 5200MHz = channel 40, и т.д. Выбираем который посвободней.
• SSID — имя точки доступа, например, myhomewifi. Некоторые любят разделять, добавив в конце _5G, что бы устройство соединялось только с 5GHz, спорное решение, т.к. те же многие так же подключают устройства и к 2.4GHz, а потом вручную выбирают необходимый. Если клиентское устройство хорошо ловит сигнал 5GHz оно само к нему подключится и при одинаковом названии точек для двух радиомодулей.
• Security Profile — профиль безопасности. Выбираем из списка созданный ранее профиль.
• WPS mode — disabled
• Frequency Mode — manual-txpower
• Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.

Нажимаем кнопку Apply и Enable. Открываем в телефоне/планшете/компьютере раздел WiFi и пробуем подключиться к созданной точке доступа, проверяем что бы устройство подключалось на частоте 5GHz.

Дополнительные настройки

В меню IP -> Services отключаем все ненужные сервисы. Обычно для доступа к устройству оставляют winbox и, кто пользуется командной строкой, ssh. В поле Available From можно прописать адреса, для которых будут доступны данные сервисы, но если такое ограничение необходимо, то лучше это реализовать через списки в Firewall, т.к. списки для сервисов ограничены по количеству и на их проверку требуются дополнительные затраты ресурсов маршрутизатора.

MikroTik умеет обнаруживать другие устройства в сети, при этом он так же сообщает информацию о себе, что может быть не безопасно. Ограничим обнаружение только интерфейсами из созданного ранее списка list-discovery. IP -> Neighbors, в поле Interface если в поле НЕ (восклицательный знак в квадрате) стоит восклицательный знак, то убираем его, в выпадающем списке выбираем list-discovery.

По умолчанию в MikroTik включен Bandwidth Test server, отключаем его Tools -> BTest Server.

Разрешаем обнаружение и подключение по MAC только для локальной сети, для этого используем ранее созданный список сетевых интерфейсов list-discovery. Tools -> MAC Server. Последовательно меняем настройки для MAC Telnet Server, MAC Winbox Server и MAC Ping Server.

MAC Ping Server Enabled отключаем совсем

Сделанные выше настройки уменьшат количество сервисов, по которым можно обнаружить и идентифицировать ваше устройство в сети, уменьшит количество возможностей подключения к устройству, а значит повысит защищенность устройства.

В завершении настройки, меняем имя устройства в System -> Identity.

Заключение

Маршрутизатор можно убрать в далекий угол и заходить на него только для периодического обновления RouterOS.

Статья местами, наверно, получилась слишком подробной, но, как показывает практика, зачастую пользователи покупают MikroTik, не имея какой-либо подготовки в работе с подобным оборудованием.

Для тех кому стало как минимум любопытно, то рекомендуется к прочтению:

Туннельный брокер IPv6, настройка 6to4 туннеля в Mikrotik

Настройка резервного канала в MikroTik с уведомлением в Telegram

The hAP is a simple home wireless access point. It is already configured, you can simply plug in your ISP cable and start using wireless internet. We recommend you to set up a password to secure your device.

Safety Warnings

Before you work on any equipment, be aware of the hazards involved with electrical circuitry, and be familiar with standard practices for preventing accidents.
Ultimate disposal of this product should be handled according to all national laws and regulations.
The Installation of the equipment must comply with local and national electrical codes.
This unit is intended to be installed in the rackmount. Please read the mounting instructions carefully before beginning installation. Failure to use the correct hardware or to follow the correct procedures could result in a hazardous situation to people and damage to the system.
This product is intended to be installed indoors. Keep this product away from water, fire, humidity or hot environments.
Use only the power supply and accessories approved by the manufacturer, and which can be found in the original packaging of this product.
Read the installation instructions before connecting the system to the power source.
We cannot guarantee that no accidents or damage will occur due to the improper use of the device. Please use this product with care and operate at your own risk!
In the case of device failure, please disconnect it from power. The fastest way to do so is by unplugging the power plug from the power outlet.
It is the customer’s responsibility to follow local country regulations, including operation within legal frequency channels, output power, cabling requirements, and Dynamic Frequency Selection (DFS) requirements. All Mikrotik radio devices must be professionally installed.

Exposure to Radio Frequency Radiation: This MikroTik equipment complies with the FCC, IC, and European Union radiation exposure limits set forth for an uncontrolled environment. This MikroTik device should be installed and operated no closer than 20 centimeters from your body, occupational user, or the general public.

Powering

The device accepts power from the power jack or from the first Ethernet port (Passive PoE):

• direct-input power jack (5.5mm outside and 2mm inside, female, pin positive plug) accepts 12-30 V DC
• first Ethernet port accepts passive Power over Ethernet accepts 18-28 V DC (compensate for the loss on cable, so more than 12V recommended)

The power consumption under maximum load can reach 15 W.

Setup

1. Connect your internet cable to the first port, and, if you have wired devices, connect them to the other ports
2. Set your computer IP configuration to automatic (DHCP).
3. From your PC or smartphone, connect to the wireless network name which starts with «MikroTik».
4. Once connected to the wireless network, open https://192.168.88.1 in your web browser to start configuration, since there is no password by default, you will be logged in automatically (or, for some models, check user and wireless passwords on the sticker).
5. . Set up your password in the screen that loads. Please also specify your country, to make sure local regulations are observed.

Configuration

We recommend clicking the «Check for updates» button and updating your RouterOS software to the latest version to ensure the best performance and stability. RouterOS includes many configuration options in addition to what is described in this document. We suggest to start here to get yourself accustomed to the possibilities: https://mt.lv/help. In case IP connection is not available, the Winbox tool (https://mt.lv/winbox) can be used to connect to the MAC address of the device from the LAN side (all access is blocked from the internet port by default). For recovery purposes, it is possible to boot the device from the network, see section Buttons and jumpers.

Extension slots and ports

• The Ethernet ports are connected through a switch chip, can be configured individually and support automatic cross/straight cable correction (Auto MDI/X), so you can use either straight or cross-over cables for connecting to other network devices.
• The integrated wireless module which supports AP/CPE/P2P/Repeater modes.

Buttons and jumpers

RouterBOOT reset button has the following functions:

• Hold the button before powering on the device, and at power-up, the button will force load the backup boot loader. Continue holding the button for the other two functions of this button.
• Release the button when green LED starts flashing, to reset RouterOS configuration. To not load the backup boot loader, you can start holding the button after power is already applied.
• Release the button after LED is no longer flashing (~20 seconds) to cause the device to look for Netinstall servers (required for reinstalling RouterOS over the network).

Regardless of the above option used, the system will load the backup RouterBOOT loader if the button is pressed before power is applied to the device. Useful for RouterBOOT debugging and recovery.

Operating system support

The device supports RouterOS software with the version number at or above what is indicated in the RouterOS menu /system resource. Other operating systems have not been tested.

Federal Communication Commission Interference Statement

FCC ID: TV7RBD52-5ACD2ND
This equipment has been tested and found to comply with the limits for a Class B digital device, pursuant to Part 15 of the FCC Rules. These limits are designed to provide reasonable protection against harmful interference in a residential installation.
This equipment generates, uses and can radiate radio frequency energy and, if not installed and used in accordance with the instructions, may cause harmful interference to radio communications. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one of the following measures:

• Reorient or relocate the receiving antenna.
• Increase the separation between the equipment and receiver.
• Connect the equipment into an outlet on a circuit different from that to which the receiver is connected.
• Consult the dealer or an experienced radio/TV technician for help.

FCC Caution: Any changes or modifications not expressly approved by the party responsible for compliance could void the user’s authority to operate this equipment.
This device complies with Part 15 of the FCC Rules. Operation is subject to the following two conditions: (1) This device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation.This device and its antenna must not be co-located or operation in conjunction with any other antenna or transmitter.
IMPORTANT: Exposure to Radio Frequency Radiation. This equipment complies with the FCC RF radiation exposure limits set forth for an uncontrolled environment. This equipment should be installed and operated with a minimum distance of 20 cm between the radiator and any part of your body.

Antenna Installation. WARNING: It is installer’s responsibility to ensure that when using the authorized antennas in the United States (or where FCC rules apply); only those antennas certified with the product are used. The use of any antenna other than those certified with the product is expressly forbidden in accordance to FCC rules CFR47 part 15.204. The installer should configure the output power level of antennas, according to country regulations and per antenna type. Professional installation is required of equipment with connectors to ensure compliance with health and safety issues.

Innovation, Science and Economic Development Canada

IC: 7442A-D52AC

This device complies with Industry Canada licence-exempt RSS standard(s). Operation is subject to the following two conditions: (1) this device may not cause interference, and (2) this device must accept any interference, including interference that may cause undesired operation of the device.
Le présent appareil est conforme aux CNR d’Industrie Canada applicables aux appareils radio exempts de licence. L’exploitation est autorisée aux deux conditions suivantes: (1) l’appareil ne doit pas produire de brouillage, et (2) l’utilisateur de l’appareil doit accepter tout brouillage radioélectrique subi, même si le brouillage est susceptible d’en compromettre le fonctionnement.

This Class B digital apparatus complies with Canadian ICES-003.

Cet appareil numérique de la classe [B] est conforme à la norme NMB-003 du Canada.

CAN ICES-003 (B) / NMB-003 (B)

The device for operation in the band 5150–5250 MHz is only for indoor use to reduce the potential for harmful interference to co-channel mobile satellite systems.

Les dispositifs fonctionnant dans la bande de 5 150 à 5 250 MHz sont réservés uniquement pour une utilisation à l’intérieur afin de réduire les risques de brouillage préjudiciable aux systèmes de satellites mobiles utilisant les mêmes canaux.

IMPORTANT: Exposure to Radio Frequency Radiation.
This equipment complies with the IC radiation exposure limits set forth for an uncontrolled environment. This equipment should be installed and operated with a minimum distance of 20 cm between the radiator and any part of your body.
Cet équipement est conforme aux limites d’exposition au rayonnement IC définies pour un environnement non contrôlé. Cet équipement doit être installé et utilisé à une distance minimale de 20 cm entre le radiateur et toute partie de votre corps.

UKCA Marking

Eurasian Conformity Mark

*Доступные частотные каналы могут различаться в зависимости от модели продукта и сертификации. 

Информация о дате изготовления устройства указана в конце серийного номера на его наклейке через дробь. Первая цифра означает номер года (последняя цифра года), две последующие означают номер недели.

Изготовитель: Mikrotikls SIA, Aizkraukles iela 23, Riga, LV-1006, Латвия, support@mikrotik.com. Сделано в Китае, Латвии или Литве. Cм. на упаковке.

Для получения подробных сведений о гарантийном обслуживании обратитесь к продавцу. Информация об импортерах продукции MikroTik в Российскую Федерацию: https://mikrotik.com/buy/europe/russia

Продукты MikroTik, которые поставляются в Евразийский таможенный союз, оцениваются с учетом соответствующих требований и помечены знаком EAC, как показано ниже:

Norma Oficial Mexicana

Rango de frecuencia (potencia de salida máxima): 2400-2483.5 MHz (30 dBm), 5725-5850 MHz (30 dBm). Los canales de frecuencia disponibles pueden variar según el modelo y la certificación del producto.

EFICIENCIA ENERGETICA CUMPLE CON LA NOM-029-ENER-2017.

La operacion de este equipo esta sujeta a las siguientes dos condiciones:

Es posible que este equipo o dispositivo no cause interferencia perjudicial y.
Este equipo debe aceptar cualquier interferencia, incluyendo la que pueda causar su operacion no deseada.

Fabricante: Mikrotikls SIA, Brivibas gatve 214i, Riga, LV-1039, Latvia.

País De Origen: Letonia; Lituania; China (Republica Popular); Estados Unidos De America; Mexico.

Por favor contacte a su distribuidor local para preguntas regionales específicas. La lista de importadores se puede encontrar en nuestra página de inicio – https://mikrotik.com/buy/latinamerica/mexico.

The National Commission for the State Regulation of Communications and Informatization by Ukraine

Виробник: Mikrotikls SIA, Brivibas gatve 214i Рига, Латвія, LV1039.

Робоча частота (Максимальна вихідна потужність): 2400-2483.5 МГц (20 дБм), 5150-5250 МГц (23 дБм), 5250-5350 МГц (20 дБм), 5470-5725 МГц (27 дБм).

CE Declaration of Conformity

Manufacturer: Mikrotikls SIA, Brivibas gatve 214i Riga, Latvia, LV1039.

Hereby, Mikrotīkls SIA declares that the radio equipment type RBD52G-5HacD2HnD-TC is in compliance with Directive 2014/53/EU. The full text of the EU declaration of conformity is available at the following internet address: https://mikrotik.com/products

Frequency bands terms of use

* It is the customer’s responsibility to follow local country regulations, including operation within legal frequency channels, output power, cabling requirements, and Dynamic Frequency Selection (DFS) requirements. All Mikrotik radio devices must be professionally installed!

Здравствуйте, уважаемые читатели!

Предпосылкой к этой статье послужила просьба одной знакомой помочь наладить дома интернет и как говорится «чтобы работало хорошо». Ранее в квартире стоял роутер TP-Link не самой дорогой и производительный, что-то вроде модели TL-WR841N. Провайдером выступает Beeline, который дополнительно предоставлял приставку для телевидения. И вот тут возникали различные проблемы на стыке типа авторизации, подключения ТВ приставки и стабильности самого роутера(которая оставляла желать…)

Я решил исправить ситуацию с помощью, вполне производительного для дома, роутера MikroTik hAP ac2 (RBD52G-5HacD2HnD-TC)
Скажу заранее, все исправно работает больше года и не смеет давать даже намека на какие-то проблемы (чтд). Так что берите на вооружение 😉

У компании Beeline достаточно долго использовался тип подключения PPP/L2TP и он возможно все еще используется. И сейчас можно говорить о двух способах авторизации:

• Устаревший: L2TP VPN (как напрямую с ПК так и через роутер)
• Текущий: IPoE(Internet Protocol over Ethernet) и Web авторизация — Для получения доступа в Интернет нужна однократная авторизация на веб-странице.

Правда я не являюсь счастливым обладателем интернета от компании Beeline и сужу только по тому что видел и вычитал на просторах интернета.
Во всяком случае тип подключения PPP/L2TP VPN является устаревшим и на его место приходит IPoE.
Я правда не совсем понимаю сакрального перехода на этот тип авторизации, когда у других провайдеров прекрасно работает обычная привязка в личном кабинете по MAC адресу. Ну да ладно, это особенности провайдера, видимо им там виднее.

Я рекомендую позвонить в Beeline (или написать), если вы не уверены в том, какой тип авторизации используется на текущий момент.

Также в других регионах, что-то может отличаться. В статье я привожу пример для Москвы.

Если я что-то упустил по типам авторизации билайна, то поправьте меня в комментариях.

Начнем с краткого обзора самого роутера т.к. про него в моем блоге еще ничего не было сказано.

Краткий обзор hAP ac2

Внешний вид вполне неплох. Вместо типовых белых коробок компания MikroTik предлагает приятный дизайн. Более того в интернете Вы найдете достаточно большое количество обзоров на этот роутер в том числе и с разбором компонентной базы. Правда я остановлюсь на одном пункте чуть ниже.

Пробежимся по характеристикам роутера.

Спецификация

Вместе с искомым роутером вы получите:

• Блок питания на 24V 0.8A (19.2 Вт)
• Ножка подставка
• Шурупы и дюбеля для крепления на стену
• Инструкция по монтажу
• Инструкция по быстрой настройке

Беспроводная связь

Периферия

Производитель предоставляет удобную блок диаграмму устройства

Сердцем выступает 4 ядерный CPU от компании Qualcomm IPQ4018 на ядрах ARM A7
Он же имеет встроенный Switch чип Atheros AR8327, который подключен к физике QCA8075 по шине в 2 Gbit/s (странно, что на диаграмме GB/s)

Тут хотелось бы остановиться подробнее, т.к. в некоторых обзорах ошибочно полагают, что в роутере используется не Switch чип AR8327, а чип QCA8075, что не корректно от слова совсем и вводит в заблуждение. По факту, чип QCA8075 реализует физический уровень взаимодействия с Ethernet портами (QCA8075-spec: Ethernet transceiver is a 5-port, 10/100/1000 Mbps tri-speed Ethernet PHY), а AR8327 это именно что Switch, реализующий MAC уровень (он же отображается в RouterOS) и это правильно! (IPQ4018-spec: Supports external gigabit Ethernet PHYs via PSGMII or SGMII)
Запомните, QCA8075 не заменяет AR8327, они работают совместно!

Если кому необходимо, то можете изучить спецификации на чип QCA8075 и CPU IPQ4018

Помимо 4х вычислительных ядер, в CPU IPQ4018 реализовано еще два отдельных ядра для Wi-Fi 2.4GHz и Wi-Fi 5GHz, это позволяет разгрузить основные ядра процессора. (Dual Wi-Fi subsystem with Qualcomm® VIVE™ technology)
А вот функции типа Beamforming в RouterOS не реализовано, хоть они и поддерживаются в CPU. Вернее идет этап реализации wifiwave2 на базе «новой» RouterOS 7, куда входит и WPA3 и MU-MIMO и Beamforming. (06.12.2021 версия 7.1 вышла в ветку Stable)
Вот только MikroTik придется постараться, чтобы уместить ОС с новым драйвером и новым Linux ядром в их любимые 16 MB, которые стоят почти везде.

Роутер практически не содержит никакой дополнительной периферии, как например те же RB750Gr3(hEX) и RB760iGS(hEX S). Нам доступен только порт USB2.0 Type A, который может отдавать подключенным к нему потребителям ток не более 1А.

Судя по сторонним тестам, роутер потребляет не более 5-6Вт при максимальной нагрузке, что приятно.

Но думаю хватит про железо, перейдем непосредственно к настройке роутера.

Настройка hAP ac2

Настройки выполнены на прошивке: 6.48.5 (Long-term)

Основной особенностью тут будет подключение TV приставки т.к. она должна быть подключена как бы напрямую в сеть провайдера. Это значит нам придется делать WAN Bridge который будет пропускать трафик TV приставки и через него же роутер будет смотреть в интернет. Также мы включим аппаратную разгрузку для WAN Bridge, чтобы трафик от приставки не мешал роутеру и роутер не мешал приставке.

Подключим Ethernet кабеля в следующем порядке.
Красный Eth1 — Кабель провайдера;
Синий Eth2 — Кабель к TV приставке;
Зеленый Eth3 — Локальный (ПК/Ноутбук)

На ПК для сетевого интерфейса устанавливаем статический IP 192.168.88.5 и маску сети 255.255.255.0
Это нужно т.к. у роутера отсутствует IP адрес после сброса всех настроек.

Открываем утилиту WinBox (Подробнее: Тут и Тут)

Как обычно сбрасываем все заводские настройки, они нам не понадобятся!

Консольно:

/system reset-configuration no-defaults=yes skip-backup=yes

После этой процедуры, у роутера не будет IP адреса, поэтому подключаемся по MAC адресу.
Все настройки будут сброшены, начнем настройку:

Настройка интерфейсов

Переходим к сетевым интерфейсам в раздел Interfaces и пока просто переименовываем их, чтобы было удобнее.

ether1 => WAN-Eth1-beeline
ether2 => WAN-Eth2-TV
ether3 => LAN-Eth3
ether4 => LAN-Eth4
ether5 => LAN-Eth5
wlan1 => LAN-wifi24ghz
wlan2 => LAN-wifi5ghz

Начало имени WAN и LAN даст удобную сортировку по имени в таблице со списком интерфейсов. Немного эстетики не повредит 🙂

Консольно:

/interface ethernet
set [find default-name=ether1] name=WAN-Eth1-beeline
set [find default-name=ether2] name=WAN-Eth2-TV
set [find default-name=ether3] name=LAN-Eth3
set [find default-name=ether4] name=LAN-Eth4
set [find default-name=ether5] name=LAN-Eth5
/interface wireless
set [find default-name=wlan1] name=LAN-wifi24ghz
set [find default-name=wlan2] name=LAN-wifi5ghz

Далее создадим два сетевых моста WAN-Bridge и LAN-Bridge, добавим в них необходимые интерфейсы.

Добавляем порты WAN-Eth1-beeline и WAN-Eth2-TV в WAN-Bridge.
Тоже самое проделываем с портами LAN (LAN-Eth3, LAN-Eth4, LAN-Eth5, LAN-wifi24ghz, LAN-wifi5ghz), но добавляем их соответственно в LAN-Bridge.
Для портов WAN включим Hardware offload. Для портов LAN включать не будем. Это делаем специально для TV приставки, чтобы обработка потока для неё происходила на уровне Switch чипа.
Соответственно нет необходимости включать Fast Forward для моста WAN-Bridge т.к. мы включили для входящих в него портов аппаратную разгрузку (Hardware offload)

Консольно:

/interface bridge
add name="WAN-Bridge" comment="WAN" mtu=1500 fast-forward=no protocol-mode=none
add name="LAN-Bridge" comment="LAN" mtu=1500 fast-forward=yes igmp-snooping=yes protocol-mode=none
/interface bridge port
add bridge=WAN-Bridge interface=WAN-Eth1-beeline
add bridge=WAN-Bridge interface=WAN-Eth2-TV
add bridge=LAN-Bridge hw=no interface=LAN-Eth3
add bridge=LAN-Bridge hw=no interface=LAN-Eth4
add bridge=LAN-Bridge hw=no interface=LAN-Eth5
add bridge=LAN-Bridge interface=LAN-wifi24ghz
add bridge=LAN-Bridge interface=LAN-wifi5ghz

Подготовим списки интерфейсов. Для чего они нужны подробнее тут: MikroTik RouterOS — Списки интерфейсов «Interface List»

Создаем списки интерфейсов:
WAN
LAN

Привязываем интерфейсы к спискам

Консольно:

/interface list
add name=WAN
add name=LAN
/interface list member
add interface=LAN-Bridge list=LAN
add interface=WAN-Bridge list=WAN

Безопасность

Надо бы улучшить безопасность нашего роутера перед тем, как продолжить его настройку. Многие спустя рукава относятся к такого рода вещам, а потом в интернете мы видим статьи о ботнетах на роутерах MikroTik. Если кому интересно, то почитайте про ботнет Mēris. Я думаю Вы не захотите, чтобы Ваш роутер выступал в роли «солдата» в армии очередного ботнета.
Тут мы сменим пользователя по умолчанию, отключим лишние сервисы и порты по умолчанию, а также направим Neighbors с MAC Server на путь истинный.

Удаляем или отключаем админа и добавляем своего пользователя (тоже с правами админа)

Консольно:

/user
add name="hello_neo" password="1234567890" group=full
set admin disabled=yes

Настраиваем Neighbors и MAC Server

Консольно:

/ip neighbor discovery-settings
set discover-interface-list=!WAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Отключаем лишние сервисы, оставляем только нужные и позволяем подключаться к ним только из локальной сети.
Если у Вас присутствует режим «paranoid», то можете еще и номер порта изменить.

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.88.0/24 disabled=no
set api-ssl disabled=yes

Осталось только отключить сервис порты.
У меня включен только pptp т.к. без него не работает VPN в роутере.

Консольно:

/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set pptp disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes

На этом с безопасностью пока можно закончить.
Конечно это еще не все и нужна более тонкая настройка Firewall для пущей безопасности, но об этом ниже по тексту.

Настройка Wireless

Далее настроим Wi-Fi. Про это я ранее уже писал, с тех пор особо ничего не изменилось, поэтому расписывать, что есть что, не буду. Просто оставлю ссылку на статью, рекомендую к ознакомлению:
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac

Консольно:

/interface wireless security-profiles
add authentication-types=wpa2-psk disable-pmkid=yes eap-methods="" group-key-update=1h mode=dynamic-keys name=gost supplicant-identity=GOST wpa2-pre-shared-key=1234567890

/interface wireless
set LAN-wifi24ghz adaptive-noise-immunity=ap-and-client-mode antenna-gain=0 band=2ghz-onlyn basic-rates-b="" channel-width=20/40mhz-XX country=russia3 disabled=no disconnect-timeout=15s distance=indoors frequency=2437 hw-protection-mode=rts-cts hw-retries=10 installation=indoor mode=ap-bridge on-fail-retry-time=1s security-profile=gost ssid=GOST station-roaming=enabled supported-rates-b="" wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled

/interface wireless
set LAN-wifi5ghz adaptive-noise-immunity=ap-and-client-mode antenna-gain=0 band=5ghz-onlyac channel-width=20/40/80mhz-XXXX country=russia3 disabled=no disconnect-timeout=15s distance=indoors frequency=auto hw-protection-mode=rts-cts hw-retries=10 installation=indoor mode=ap-bridge on-fail-retry-time=1s security-profile=gost ssid=GOST5G station-roaming=enabled wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled

/interface wireless nstreme
set LAN-wifi5ghz enable-polling=no
set LAN-wifi24ghz enable-polling=no

Настройка сети

Теперь настроим локальную сеть. Установим IP адрес роутера, укажем пул IP адресов для локальных клиентов и настроим DHCP сервер для них. Все это также ранее фигурировало в статьях.

Консольно:

/ip address
add address=192.168.88.1/24 comment=LAN interface=LAN-Bridge network=192.168.88.0

/ip pool
add name=LAN-pool ranges=192.168.88.2-192.168.88.254

/ip dhcp-server
add address-pool=LAN-pool bootp-lease-time=lease-time bootp-support=dynamic disabled=no interface=LAN-Bridge lease-time=3d name=LAN-dhcp
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 netmask=24

Настройка межсетевого экрана (Firewall) и DNS

Тут настроим роутер на обработку DNS запросов и перейдем к настройке Firewall Filter, Firewall NAT и Firewall Raw

/ip dns
set allow-remote-requests=yes

Firewall я буду применять тот, который я выработал для себя и он себя отлично показывает все то время, что у меня стоят роутеры компании MikroTik.
Если Вы хотите знать больше, то вот статьи по тому как и что я настраивал:
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
MikroTik : RouterOS : Стучимся к себе домой. Firewall Filter PortKnocking

Получилось много скриншотов Firewall Filter (28 шт.)

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward comment="ALLOW - Established and Related connections" connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=drop chain=forward comment="DROP - Invalid connections" connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=jump chain=input comment="DDoS - SYN flood protection" connection-state=new in-interface-list=WAN jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect limit=200,5:packet tcp-flags=""
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1w3d chain=SYN-Protect log-prefix="DDoS: SYN-Protect" tcp-flags=""
add action=jump chain=input comment="DDoS - Main protection" connection-state=new in-interface-list=WAN jump-target=DDoS-Protect
add action=return chain=DDoS-Protect dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1w3d chain=DDoS-Protect log-prefix="DDoS: MAIN-Protect"
add action=drop chain=input comment="DROP - Block all other input/forward connections on the WAN" in-interface-list=WAN
add action=drop chain=forward in-interface-list=WAN

Остального сильно меньше 🙂

/ip firewall raw
add action=drop chain=prerouting comment="DDoS - Drop blacklist IP" in-interface-list=WAN src-address-list=ddos-blacklist

И остается только NAT для корректной работы интернета.
Если у Вас есть статический IP от провайдера, то вы можете использовать src-nat вместо masquerade, при этом нужно будет изменить правило!

/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade" ipsec-policy=out,none out-interface-list=WAN

Бонус: Если статический IP от провайдера. Для примера возьмем IP 1.2.3.4

/ip firewall nat
add action=src-nat chain=srcnat comment="SRC-NAT - Internet out" ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24 to-addresses=1.2.3.4

Осталось настроить подключение к провайдеру

Подключение к провайдеру

Т.к. мы используем IPoE от Билайна, IP адрес получаем по DHCP.
DHCP client вешаем соответственно на WAN-Bridge.

Тут есть один момент. Самое долгое, на что я потратил много времени, это общение со специалистами билайна т.к. DHCP-Client никак не хотел получать IP.
Также в инструкциях Билайна написано про страницу авторизации после получения IP. У меня её не было т.е. никакие логины пароли вводить не понадобилось. После получения IP адреса все заработало.

/ip dhcp-client
add disabled=no interface=WAN-Bridge use-peer-ntp=no

Рюшечки (время, идентификация, авто-обновление)

Дополнительно можно настроить синхронизацию времени через NTP, изменить идентификатор роутера и настроить автоматическое обновление.
Конечно это все совершенно не обязательно, все и так уже будет работать.

Время и синхронизация
Тут соответственно ставите свою временную зону.

Консольно:

/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/ip cloud
set update-time=no
/system ntp client
set enabled=yes primary-ntp=88.147.254.235 secondary-ntp=88.147.254.228

Идентификация (Hostname)

/system identity
set name=GOST-AC2

Автоматическое обновление.
А вот тут конечно вариантов несколько. Есть встроенная функция авто-обновления, но меня она не устраивает. Я для этого использую скрипты и планировщик. Т.к. это продвинутые функции, тут будет только код.

Немного про сам код. Используются два скрипта. Первый проводит начальную инициализацию переменных, а второй уже выполняет обновление и задействует отправку уведомлений на почту о появлении нового обновления и начале самого процесса обновления.

initparam
Помимо инициализации переменных скрипт обновляет загрузчик сразу после включения если это требуется.

# Initialization of primary parameters

:delay 10s

# Yandex SMTP
:global SMTPIP
:do {
   :set $SMTPIP [:resolve "smtp.yandex.ru"]
} on-error={
   :set $SMTPIP 213.180.204.38
}


# Sending Email
:global LOGIN "your_source_email@yandex.ru"
:global PASS "your_source_email_password"
:global TOMAIL "target_email@gmail.com"

# System Information
:global NAME [/system identity get name]

# Check the version of the bootloader
:local NOWBOOT [/system routerboard get current-firmware]
:local NEWBOOT [/system routerboard get upgrade-firmware]
:if ($NOWBOOT!=$NEWBOOT) do={
   :log warning "initparam: Start Update bootloader..."
   /system routerboard upgrade
   :delay 3s
   /system reboot
   :delay 1s
}

autoupdate
Я обновляю исключительно на long-term ветку.

# Automatic firmware update script
#

# Choosing where to get updates
/system package update set channel=long-term
/system package update check-for-updates

# Initialization
:global SMTPIP
:global LOGIN
:global PASS
:global TOMAIL
:global NAME

# Check the compliance of firmware versions
:local CURRVER [/system package update get installed-version]
:local NEWVER [/system package update get latest-version]
:if ($CURRVER!=$NEWVER) do={
   :log warning "autoupdate: Start Update process..."
   :do {
      /tool e-mail send from="<$LOGIN>" to=$TOMAIL server=$SMTPIP port=587 user=$LOGIN password=$PASS start-tls=yes subject=("The " . $NAME . " router started updating on new firmware " . $NEWVER) body=("Router started updating on new firmware " . $NEWVER . "nTime and Date stamp: " . [/system clock get time] . " - " . [/system clock get date])
   } on-error={
      :log error "autoupdate: Failed to send email - (Start Update process...)"
   }
   
   :log warning "autoupdate: Current Firmware = $"CURRVER""
   :log warning "autoupdate: New Firmware = $"NEWVER""
   
   /file remove [find type="package"]
   
   # Download and Install the new version
   /system package update install
   :log warning "autoupdate: Download New Firmware Complete. Run install."
   :delay 1s
}

Эти скрипты я запускаю через планировщик(Scheduler) так:
initparam — 1 раз при старте.
autoupdate — каждый день в 4 утра.

Заключение

Вот собственно и вся настройка. Приставка без проблем работает через роутер, а роутер не напрягаясь обслуживает домашние сетевые устройства.
Надеюсь данная статья поможет начинающим и опытным настройщикам.
Единственной проблемой с которой я столкнулся в процессе это выяснение типа авторизации у Билайна. Но благо техподдержка помогла разобраться и перевела абонента на IPoE, пусть и не без вопросов.

Если у Вас есть какая-то информация по поводу настроек, их оптимизации, смело пишите об этом в комментариях.
Ах да и по поводу типов авторизации было бы приятно почитать знающих людей 🙂

Благодарю за ваше время!

Всего хорошего на просторах Интернета 😉