Меня часто спрашивают – «Помоги настроить Микротик дома, чтоб wi-fi работал хорошо. И еще чтоб можно было играть в онлайн и при этом не лагало, когда в соседней комнате смотрят Yotube, Rutube и тому подобное».
В большинстве ситуаций при проведении обследования выясняется, что роутер MikroTik с wifi просто подключен в модем и работает как точка доступа. Модем настроен в режиме роутера, т.е. в нем есть какие-то свои настройки, например файервол, которые могут влиять на качество Интернета. Можно выполнить все настройки wifi в самом модеме, но тогда непонятно зачем был куплен Микротик? Если для усиления сигнала wifi, то это все равно получается ерунда, потому что модем раздает wifi с одним названием беспроводной сети (SSID), а Микротик создает еще одну не связанную с модемом точку доступа, со своим SSID. Для таких случаев логичнее купить усилитель сигнала wifi. Можно сравнить Микротик с мощным дорогим автомобилем, а модем это грузовик. Люди покупают себе Феррари, грузят ее в кузов грузовика и так катаются. И думают что у них все в порядке. В итоге настраивать приходится не только wifi, но и все то, о чем написано далее.
Рассмотрим настройку роутера MikroTik, подключенного в модем, который работает в режиме бриджа (Bridge-mode, мост). В этом случае в самом модеме ни какие настройки не влияют на трафик Интернета. Все что модем принял, он просто передает дальше. Если в дом заведено опто-волокно, то можно купить роутер с оптическим портом, и договорится с провайдером подключить оптику прямо в него. Модем в этом случае вообще не нужен. Но это сложный вариант и провайдер не всегда соглашается.
Схема подключения.
Настраивать будем на примере двух популярных на сейчас моделей Микротик, первая — hAP ac³, техническое название RBD53iG-5HacD2HnD. Это весьма производительный домашний роутер с четырех-ядерным процессором, гигабитными портами и двумя диапазонами wifi 4 и 5 поколения, с частотами 2,4ГГц и 5ГГц соответственно. Характеристики на сайте mikrotik.com.
Если нужно что-то подешевле, то есть предыдущий собрат этого роутера hAP ac² (RBD52G-5HacD2HnD-TC). Тоже вполне годный аппарат, но без антенн, соответственно wifi будет хуже.
Подключение.
Итак, купили новый роутер, принесли домой, распаковали. Если hAP ac³, то прикручиваем антенны. Без антенн включать нельзя. Размещаем роутер на его постоянное место пребывания. Подключаем его в схему как нарисовано выше. В первый порт подключаем патч-корд от модема. Настроим этот порт в роли WAN, т.е. соединяющийся с внешней сетью и Интернетом. Остальные порты настроим для внутренней сети LAN. В пятый порт подключаем компьютер. Подключаем питание.
В роутере Микротик, а точнее в его операционной систем, которая называется RouterOS, любой порт можно настроить как WAN, или как LAN. Во всех устройствах Микротик единая операционная система, поэтому все они настраиваются одинаково, и эта инструкция подойдет для большинства wifi роутеров MikroTik.
В модеме подключаем патч-корд от роутера так же в первый порт, чтоб не путаться.
На компьютере нужно заготовить заранее WinBox – приложение для настройки оборудования MikroTik. Скачать его можно с официального сайта.
WinBox – это та важная особенность, которая отличает Микротик от других производителей сетевого оборудования. Ни у одного другого вендора, и даже у идейного лидера CISCO, нет такого приложения. После работы через WinBox некоторое время, становится понятно, как неудобно и не комфортно настраивать все остальное оборудование используя браузерные интерфейсы. Командная строка – это отдельная тема.
WinBox есть для Windows, MacOS и Linux. Кроме этого есть еще приложение для Android, чтобы выполнять настройки из смартфона или планшета.
Запускаем WinBox. Он портабельный и не требует установки.
Нажимаем на вкладку Neighbors (соседи). В списке ниже появятся все соседние устройства с RouterOS.
Нажимаем мышкой на MAC-адрес. Он появится в поле Connect to.
Логин: admin
Пароль: нет пароля.
Нажимаем кнопку Connect.
Происходит подключение к роутеру по мак-адресу.
В некоторых новых моделях с RouterOS v7 первоначальный пароль можно найти на наклейке с обратной стороны корпуса.
Первоначальная настройка.
При первом подключении открывается окно, которое предлагает сбросить или сохранить дефолтную конфигурацию.
Дефолтную конфигурацию роутера…
Оставляем. Нажимаем кнопку ОК.
Вобщем то на этом, основная настройка почти завершена.
Многие пользователи на форумах и в отзывах Интернет-магазинов жалуются, что Микротик очень сложно настраивать. Ну так вот зачем его настраивать, если устройство почти полностью готово к работе «из коробки»?
Для домашнего использования производитель подумал за пользователя. А если устройство для предприятия, то там должны быть специально обученные админы, которые могут разобраться по своему опыту, обучению на курсах, или инструкциям из Интернета.
Дополнительно в роутер нужно внести персональные для каждого настройки:
-логин и пароль входа в роутер;
-логин и пароль по договору с провайдером для оплаты Интернет-трафика;
-пароль для wifi;
-разделение скорости между пользователями.
Сделаем это.
Логин и пароль для входа в роутер.
Начнем с этой настройки по причине информационной безопасности. Создаем нового пользователя со сложным паролем.
Нельзя использовать логины: admin, admin1, user, user123, и тп. Пароль должен состоять из не менее 8 символов среди которых буквы разного регистра, цифры и спец. символы.
Заходим в роутер с новыми учетными данными и удаляем пользователя admin.
Если оставить админа и без пароля, то при неправильной настройке файервола в роутер могут проникнуть хакерские сканер-боты, испортят настройки и получат доступ к Вашему компьютеру.
Настройка Интернет-соединения в роутере.
Звоним в тех. поддержку провайдера и просим перевести модем в режим «бридж» (мост). Большинство провайдеров умеет это делать дистанционно.
Можно это сделать самостоятельно. Под спойлером написано как это сделать. В этой инструкции все дополнительные варианты настроек, или настройки, которые можно пропустить или сделать не в первую очередь помещены под спойлеры, чтоб не перегружать внимание.
Все модемы разные, но принцип общий. Подключаемся патч-кордом в 1 порт модема. Заходим в интерфейс через браузер по IP-адресу (обычно это 192.168.1.1). Вводим логин-пароль.
Логин и пароль модема нужно искать в его инструкции или по модели модема в Интернете. Если логин и пароль не подходят, то на этом настройка заканчивается и помочь может только тех поддержка.
Войдя в меню настроек, выставляем параметр Bridge Connection. Сохраняем.
Соединяем обратно патч-кордом первый порт модема с первым портом роутера.
У модема может быть другой IP-адрес, не 192.168.1.1, а например 192.168.100.1. В основном все модемы, работающие в режиме роутера, настроены на автоматическую раздачу IP-адресов. Чтоб узнать, какие IP-адреса раздает модем, нужно зайти в сетевой адаптер компьютера. Это делается до перевода модема в бридж.
Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.
Выбираем нужный сетевой адаптер, если их несколько, и смотрим его сведения.
В данном случае компьютеру раздался IP-адрес 192.168.100.4.
IP-адрес шлюза = IP-адрес модема = 192.168.100.1. Подключаемся через браузер на этот адрес.
В режиме бриджа некоторые модемы не раздают автоматически IP-адреса. Для подключения в модем, настроенный в этом режиме нужно заранее узнать какой у него был IP-адрес в режиме роутера и в ручную прописать адрес из того же диапазона в сетевом адаптере компьютера.
Например, до перевода модема в режим бриджа мы узнали по описанной выше методике, что IP-адрес модема (шлюза) 192.168.100.1. В этом случае заходим в настройки сетевого адаптера и указываем вручную IP-адрес для компьютера, например, 192.168.100.5.
Далее подключаем патч-корд от компьютера в первый порт модема, заходим в настройки и выставляем нужный режим работы, если допустим, понадобилось обратно вернуть режим роутера.
В модеме еще желательно проверить настройку DHCP-server, и если она активирована, то выключить её. Автоматическая раздача IP-адресов из модема может помешать получению внешнего IP-адреса от провайдера.
В роутере переходим в боковом меню в PPP. Создаем новое соединение. Вносим данные провайдера.
На вкладке General указываем имя соединения и выбираем интерфейс для внешней сети. По нашему плану это первый порт, значит ether1.
На вкладке Dial Out вносим данные из договора с провайдером.
Следует обратить внимание на галку Add Default Rout. Эта настройка активирована изначально и предназначена для создания маршрута в Интернет.
User и Password ищем в приложении к договору с провайдером.
Созданный интерфейс нужно добавить в WAN List чтоб роутер понял, что это интерфейс для внешней сети.
Списки используются в правилах файервола дефолтной конфигурации. Если интерфейс не добавлен в список, то в правило он соответственно не попадает.
Если интерфейс не попадет в правило №9, то роутер может разрешить доступ из этого интерфейса к вам в компьютер. Назначение этого правила – отбрасывать всё из списка WAN, кроме проброса портов.
Следующее назначение – NAT. NAT преобразовывает IP-адреса из локальной сети, в единый внешний IP-адрес при доступе в Интернет, и обратное действие для ответа из Интернета.
В настройке NAT так же указан список WAN. Если интерфейс не добавлен в список, то Интернета в локальной сети не будет.
Списки еще используются в IP >> Discovery Settings для обнаружения устройства в сети и для тех же целей в Tools >> MAC-server >> MAC WinBox Server.
После этих действий в роутере должен появиться Интернет. Проверить это можно с помощью команды ping до любого известного сервиса. Например, до 8.8.8.8 (DNS Гугл), или 77.88.8.8 (DNS Яндекс).
В компьютере Интернет так же должен был появиться. Проверяем.
Если пинг не проходит, нужно проверять связку модем-роутер.
Нужно убедиться, что модем в режиме бриджа. Войти в меню модема и проверить это.
Проверить статус соединения на модеме. Должен гореть диод PON, ADSL, Internet или какие-то еще подобные названия.
Проверить работу сети между модемом и роутером так же по диодам либо по статусу соединения в роутере.
Может быть плохой патч-корд, или не до конца подключился или не рабочий порт.
Перезагрузить модем и роутер. Подождать пока установится соединение, проверить пинг еще раз.
Из практики следует, что как правило, с Микротик в этом месте ни каких вопросов не возникает и все проблемы в основном из-за модема.
Наблюдать происходящее можно через логи роутера. При написании этой инструкции соединение устанавливалось около 4 мин.
Далее нужно проверить какой раздался IP-адрес для роутера и раздался ли он вообще. IP >> Addresses.
Если в роутере пинг проходит, а в компьютере Интернет не появился, то нужно проверить DNS.
Бывают ситуации, когда IP-адреса динамических DNS-серверов не появляются. В этом случае нужно указать статический IP-адрес для DNS, например 8.8.8.8, или может быть какой-то особый DNS от вашего провайдера.
Бывают уникальные случаи, когда требуются особые настройки модема. Например, провайдер передает Интернет по определенному VLAN, номер которого нужно указать в настройке соединения на модеме. Это сложные случаи и разбираться в каждом из них нужно индивидуально в зависимости от модели модема.
Если ваш провайдер раздает Интернет через домовую сеть и не использует авторизацию или авторизация автоматическая, то ситуация еще проще. Модем в этом случае вообще не используется. Подключаем провод от провайдера в первый порт роутера. Связываемся с провайдером и сообщаем, что установлен новый роутер и нужно его разрешить. Провайдер делает свое дело (скорее всего привязывает по мак-адресу), а к вам в роутер прилетает внешний IP-адрес по DHCP. Нужно проверить чтоб был активирован DHCP Client. IP >> DHCP Client. Обычно эта настройка активирована в базовой конфигурации роутера.
Чтоб различать интерфейсы, где LAN, где WAN, их можно переименовать на одноименной вкладке. Нажимаем на интерфейс и дописываем метку.
Полностью переименовывать интерфейсы не рекомендуется. Многие инструкции, в том числе на help.mikrotik.com, используют названия интерфейсов ether1, ether2 и тд. Если переименовать у себя в роутер интерфейсы полностью, то будет очень сложно пользоваться этими инструкциями, в случае необходимости что-то донастроить.
Так как появился Интернет, можно обновить систему до последней версии. Желательно поддерживать актуальную версию RouterOS. В обновлениях устраняются уязвимости сетевой безопасности и обнаруженные баги.
System >> Packages >> Check For Update.
В поле Channel выбираем канал, по которому будем обновляться.
Installed Version: версия ПО, установленная в роутере.
Latest Version: последняя доступная версия.
В RouterOS в настоящее время есть две версии: v6 и v7, а так же несколько каналов (веток) в каждой версии.
RouterOS v6 работает на более старом ядре линукс (Linux Kernel v 3.3.5+), но так же является более надежной и стабильной.
RouterOS v7 более новая (Linux Kernel v 5.6), с множеством дополнительных настроек и возможностей, но эта версия не всегда стабильно работает, разработчики часто выпускают новые релизы с устранением множества багов.
Самый надежный канал (ветка) Long-Term, в ней минимальное количество багов. Для v7 такой ветки еще не существует (2024г). Следующим идет Stable.
Для домашнего использования вполне подойдет RouterOS v7 Stable. Выбираем такой вариант и нажимаем кнопку «Download&Install».
Если версия ОС ниже чем 7.12.1, то сперва, обновление произойдет до этой версии, потом обновится нужно еще раз.
Ожидаем 3-5мин. Роутер перезагрузится.
Обновить нужно не только ОС, но еще и загрузчик.
System >> RouterBOARD >> Settings Отмечаем галку Auto Upgrade.
После этого загрузчик будет обновляться автоматически, достаточно только перезагрузить роутер еще раз. В последних версиях ОС эта настройка включена изначально.
Версию ОС можно не только повышать, но и понижать.
Если установка прошла неудачно, и устройство перестало отвечать, то нужно воспользоваться средством восстановления Netinstall.
Переподключаемся по WinBox и продолжим настройку.
Настройка Wi-Fi.
Переходим по меню в беспроводные настройки Wireless и видим, что два беспроводных адаптера 2.4GHZ и 5GHZ уже в работе.
Это значит, что к вашей точке доступа уже можно подключиться и при этом без пароля. Возможно, ваши соседи уже сделали это.
Установим пароль на подключение к беспроводной сети и поменяем ее название на более понятное.
Переходим на вкладку профилей безопасности, и создаем новый профиль. Default профиль лучше не изменять. Выставляем настройки как на картинке ниже.
Name: любое удобное название для профиля;
Mode: dynamic keys:
Authentication Types: WPA2 PSK;
WPA2 Pre-Share Key: ваш пароль для wifi.
Пароль должен быть сложным, не менее 8 символов из букв разного регистра, цифр и спец. символов.
Но пароль все равно могут подобрать, по этому нужно делать привязку устройств по мак-адресу.
Переходим на вкладку WiFi Interfaces и по очереди в каждый беспроводной адаптер добавляем настройки как на картинке ниже.
SSID: название вашей беспроводной сети, в конце дописываем тэг 2GHZ;
Security Profile: профиль безопасности с паролем, который создали ранее;
Country: страна в которой вы находитесь.
Installation: indoor (внутри помещения)
Сохраняем настройки.
Делаем то же самое для диапазона 5GHZ.
И вот, wifi уже можно использовать. Пробуем подключится с телефона. Если телефон более старый и в нем нет модуля wifi 5GHZ, то выбираем из списка вашу сеть 2GHZ.
У роутеров с пакетом wifi-qcom отсутствует меню Wireless и немного по другому выглядят настройки, которые выполняются из меню WiFi.
Проверяем какой пакет.
wifi-qcom-ac предназначен для устройств с wifi5 AC.
wifi-qcom предназначен для устройств с wifi6 AX.
Создаем профиль безопасности. Он будет общий для режимов работы 2.4GHz и 5GHz. В профиле указывается пароль для подключения к wifi и методы шифрования.
Далее настраиваем сеть 2.4GHz.
Выбираем созданный профиль безопасности на вкладке Security.
Переходим на вкладку Configuration, настраиваем название сети и регион.
То же самое делаем для сети 5GHz.
В результате получится 2 сети в списке c настройками как на картинке ниже.
Частоты, ширина каналов, мощность передатчика и все прочее настроено автоматически базовой конфигурацией.
Проверяем беспроводные сети в смартфоне.
Проверяем тест скорости.
Для тарифа 100Мбит/с это норма.
Настройка завершена.
Для тех, кто захочет углубиться, есть мануал по работе в меню WiFi. mikrotik.help
Настроим привязку клиентов wifi по мак-адресу.
Переходим на вкладку Registration. Тут появляются все новые устройства, подключенные к wifi. Копируем подключенное устройство в Access List (список доступа).
Переходим в Access List. Видим там наше добавленное устройство.
Создаем новое правило без указания мак-адреса.
Снимаем галку Authentication.
Это правило располагаем ниже всех остальных. Оно означает что к точке доступа могут подключаться только указанные выше устройства, а все остальные устройства (с любым другим мак-адресом) подключится не смогут.
Проверяем, чтоб в смартфоне не было настройки каждый раз менять мак-адрес у беспроводного адаптера.
При добавлении нового устройства отключаем нижнее правило, копируем устройство в Access List, поднимаем выше последнего правила. Активируем последнее правило.
Теперь к точке wifi посторонние устройства не подключатся, потому что Вы сами решаете, кому дать доступ.
На этом настройка wifi завершается. В Микротик есть еще очень много других настроек для беспроводной сети, но для домашнего использования они все не нужны. Если захотите поизучать эти настройки, то лучше вернуться к ним позже.
Разделение трафика, ограничение скорости.
Самый простой способ разделить трафик — по IP-адресу устройства.
IP-адреса раздает DHCP-сервер. Переходим в его настройку.
IP >> DHCP-server >> Leases.
Видим много устройств в списке. Идентифицируем их по сетевому имени или как-то еще (отключаем по очереди).
Затем привязываем IP-адрес устройства к его MAC-адресу, для этого нажимаем кнопку «Make Static».
После этих действий, привязанному по мак-адресу устройству будет всегда раздаватся один и тот же IP-адрес.
Делаем то же самое для остальных устройств. В комментариях записываем что это за устройство.
Теперь создадим ограничение скорости.
Переходим в Queues (очереди), так в RouterOS называется эта настройка.
Создаем родительское правило с настройками как на картинке ниже.
Name: любое понятное имя.
Target: bridge – указываем интерфейс или IP-адрес к которому будет применятся правило.
Max Limit – максимально возможная скорость трафика (в соответствии с тарифным планом).
Target Upload: 100M – скорасть для загрузки в Интернет.
Target Download: 200M – скорость для скачивания из Интернета.
М – приставка мега.
Сохраняем настройку.
Все последующие правила будут входить в родительское.
Создаем первое ограничение, для админа (себя).
Для пробы установим скорость 20M в оба направления.
На вкладке Advanced указываем, какое родительское правило будет для этого правила.
Так же указываем:
Limit At:10M – ниже этого значения скорость не уменьшится, даже если в соседней комнате запустят торрент.
Priority: 5 – это значит что трафик этого правила будет идти в первую очередь. Чем меньше значение, тем выше приоритет. Достаточно значения на 1 пункт меньше. Можно было поставить 6 или 7, т.к. максимальный приоритет 8, но это специально оставлен запас, если кого-то нужно будет сделать менее приоритетным чем это правило, но более приоритетным чем остальные.
Parent: родительское правило.
Создаем еще одно правило, для компа соседней комнаты.
Так уж и быть, дадим им по 10М на загрузку и скачивание (нормальные пацаны там).
Приоритет 6 означает, что в первую очередь пойдет трафик у админа с приоритетом 5, затем пойдет трафик этого компа с приоритетом 6.
Забронированная скорость 5М и ниже этой отметки не опустится. Т.е. если будут играть в он-лайн, то прерываний не будет.
Создадим еще одно правило для всех остальных (гости, телевизор и тп).
Назначаем правило на bridge. В него входят все интерфейсы проводные и беспроводные.
Приоритет самый худший. Трафик пойдет в последнюю очередь.
Проверяем. Ничего не работает.
Причина в том, что в файерволе есть правило Fasttrack connection, которое отправляет трафик мимо процессора для его разгрузки, но при этом обработка Queues идет именно через процессор. Короче, удаляем это правило и перезагружаем роутер.
Проверяем скорость еще раз.
У админа.
В компе К1.
У остальных пользователей.
Всё соответствует правилам.
Если значение трафика приближается к пределу, то правило подсвечивается красным цветом.
Сложность выбора скоростей состоит в том, что все суммы Limit At или Max Limit не должны превышать максимальной скорости по тарифному плану.
По представленной методике каждый может настроить ограничения скорости под свою ситуацию.
Некоторые дополнительные настройки.
Подпишем сетевое имя роутера.
Настроим синхронизацию времени от внешнего NTP-сервера.
Адреса серверов NTP можно взять например отсюда.
Отключим все неиспользуемые сервисы в целях информационной безопасности. Оставим доступ в роутер только по WinBox.
Отмечаем не используемые сервисы и нажимаем крест.
На этом все. Базовая настройка завершена.
Резервная копия настроек.
После завершения настройки желательно (обязательно) сделать резервную копию BackUp.
В случае поломки оборудования или неправильного ввода настроек можно восстановиться из резервной копии. Файл бэкапа перетягиваем мышкой на компьютер и храним там.
Для восстановления выбираем резервную копию, нажимаем Restore и подтверждаем.
Роутер перезагрузится, настройки восстановятся.
Все остальные настройки есть в Default-конфигурации роутера, и без особого понимания лазить по ним не нужно. Особенно это касается файервола. Одно неправильное действие и вы откроете доступ к своему компьютеру из Интернета. Этим непременно воспользуются злоумышленники, которые регулярно сканируют из Интернета оборудование сетей своими ботами.
В процессе использования роутера появится множество различных запросов, например, отключать детям Интернет в смартфонах после 23:00, блокировка некоторых сайтов, VPN в домашнюю сеть из своего смартфона или с работы, дистанционное включение своего компьютера, оповещения на электронную почту и тп. Все это и многое другое можно гибко настроить, используя возможности RouterOS. Постепенно, пошагово изучая Микротик, вы поднимете свой уровень понимания в информационных технологиях сетевого направления.
Для работы с командной строкой нужно проходить обучение и для домашнего использования этот вариант мало пригоден, но попробовать можно. В Микротик работа с командной строкой максимально упрощена. В интерфейсе RoutrerOS есть вкладка вызова терминала для ввода команд. Нет дополнительных трудностей с поиском клиента доступа типо Putty или тому подобных.
Микроик способствует переходу между GUI (графическим интерфейсом) и CLI (командной строкой). Начинающие работать в GUI постепенно незаметно втягиваются и переходят в CLI. Выполняя настройки в графическом интерфейсе, можно сразу же выполнить экспорт и посмотреть, как это выглядит в командной строке. Или наоборот, настраивать из CLI и сразу видеть, что получается в графическом интерфейсе. Нет заморочек с root-правами как в других Линуксах. Настройки выполняются доступно и удобно. Если нужно будет повторить настройку на другом таком же оборудовании, то достаточно перекопировать в него код командной строки.
Например, чтоб посмотреть список всех введенных настроек, в командной строке нужно ввести:
1 |
export |
Чтоб сохранить выведенный список в файл нужно использовать команду:
1 |
/export file=GW1 |
GW1 — это имя файла, любое понятное, без пробелов, лучше указывать с датой, например GW1-10-10-2024 (GW=GateWay, ваш шлюз в Интернет)
Таким способом делается еще один вид бэкапа в Микротик.
Можно перетянуть этот файл к себе на компьютер, открыть текстовым редактором и подробно изучить конфигурацию. При необходимости, можно восстановить конфигурацию роутера из этого файла.
Чтоб вывести какую-то конкретную настройку, нужно ее указать. Например, файервол:
1 |
/ip firewall filter export |
Выведется список правил фильтра.
Слэш / означает путь от корня.
Достаточно вводить первые несколько символов команды и нажимать TAB. Команда будет дописываться или будет выводиться список доступных вариантов. Или можно даже без TAB. Система многое принимает в сокращении. Например та же команда сокращенно:
1 |
/ip fi fi ex |
Подробнее, назначение команд и все остальное можно изучить в help.mikrotik.
Если у вас что-то не работает в Микротике и вы хотите задать вопрос в комментариях или на форумах, то вас поймут, если будет приложен экспорт конфигурации по заданному вопросу и вас не захотят понимать если будут приложены скриншоты конфигурации в графическом интерфейсе.