RouterOS Basics¶
Основи роботи з MikroTik RouterOS.
Підключення¶
WinBox¶
Download: https://mikrotik.com/download
Default IP: 192.168.88.1
Default user: admin
Default password: (empty)
SSH¶
ssh admin@192.168.88.1
Web Interface¶
http://192.168.88.1
Перший вхід¶
Зміна пароля¶
/user set admin password=YourSecurePassword
Оновлення RouterOS¶
# Перевірити версію
/system resource print
# Оновити
/system package update check-for-updates
/system package update download
/system reboot
Інтерфейси¶
Перегляд¶
/interface print
/interface ethernet print
Налаштування IP¶
# Статичний IP
/ip address add address=192.168.1.1/24 interface=ether2
# Перегляд IP
/ip address print
VLAN¶
# Створити VLAN
/interface vlan add name=vlan100 vlan-id=100 interface=ether1
# IP для VLAN
/ip address add address=10.100.0.1/24 interface=vlan100
Маршрутизація¶
Default Gateway¶
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.254
Статичні маршрути¶
/ip route add dst-address=10.0.0.0/8 gateway=192.168.1.2
Перегляд таблиці маршрутизації¶
/ip route print
Firewall¶
Базові правила¶
# Дозволити established
/ip firewall filter add chain=input connection-state=established,related action=accept
# Дозволити ICMP
/ip firewall filter add chain=input protocol=icmp action=accept
# Дозволити SSH (обмежено)
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 action=accept
# Заблокувати все інше
/ip firewall filter add chain=input action=drop
NAT (Masquerade)¶
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Port Forwarding¶
/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.100 to-ports=80
Перегляд правил¶
/ip firewall filter print
/ip firewall nat print
Bridge¶
Створення¶
/interface bridge add name=bridge1
Додати порти¶
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
IP для bridge¶
/ip address add address=192.168.1.1/24 interface=bridge1
Wireless (якщо є)¶
Базове налаштування AP¶
/interface wireless set wlan1 mode=ap-bridge ssid="MyNetwork" frequency=2437 band=2ghz-b/g/n
# Безпека
/interface wireless security-profiles add name=profile1 mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key=SecurePassword123
/interface wireless set wlan1 security-profile=profile1
Перегляд клієнтів¶
/interface wireless registration-table print
Корисні команди¶
Система¶
# Статус системи
/system resource print
# Час роботи
/system resource print | grep uptime
# Логи
/log print
# Reboot
/system reboot
# Shutdown
/system shutdown
Backup¶
# Створити backup
/system backup save name=backup-2024
# Export конфігурації (text)
/export file=config-2024
# Відновити
/system backup load name=backup-2024
Моніторинг¶
# Трафік інтерфейсу
/interface monitor-traffic ether1
# Активні з'єднання
/ip firewall connection print
# ARP таблиця
/ip arp print
Scripting¶
Простий скрипт¶
/system script add name=backup-daily source={
/system backup save name=("daily-" . [:pick [/system clock get date] 0 10])
}
Scheduler¶
/system scheduler add name=daily-backup interval=1d on-event=backup-daily
Безпека¶
Відключити непотрібні сервіси¶
/ip service disable telnet,ftp,www,api,api-ssl
/ip service set ssh port=2222
Обмежити доступ¶
/ip service set ssh address=192.168.1.0/24
/ip service set winbox address=192.168.1.0/24
Користувачі¶
# Новий користувач
/user add name=operator password=SecurePass group=read
# Видалити default admin (після створення нового!)
/user remove admin
Типові конфігурації¶
Home Router¶
# WAN на ether1, LAN на bridge
/interface bridge add name=lan
/interface bridge port add bridge=lan interface=ether2
/interface bridge port add bridge=lan interface=ether3
/ip address add address=192.168.88.1/24 interface=lan
/ip pool add name=dhcp-pool ranges=192.168.88.10-192.168.88.254
/ip dhcp-server add name=dhcp1 interface=lan address-pool=dhcp-pool
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=8.8.8.8,8.8.4.4
/ip dhcp-client add interface=ether1 disabled=no
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Troubleshooting¶
Немає доступу до роутера після зміни IP
- Симптом: WinBox / SSH / web більше не відкривається на 192.168.88.1. ping не відповідає.
- Причина: Змінили IP інтерфейсу або додали VLAN, не залишивши management-адреси на тому ж інтерфейсі. Також — firewall input chain може блокувати нову підмережу.
- Рішення: Підключитись через WinBox по MAC-адресі (Neighbors tab — працює навіть без IP). Або зробити hard reset кнопкою (hold ~10 сек при увімкненні). Також перевірити /ip firewall filter print і /ip service print — чи дозволений доступ з вашої підмережі.
Забутий пароль admin
- Симптом: Не можна залогінитись, "invalid user name or password".
- Причина: Втрачений пароль після зміни або передача обладнання без облікових даних.
- Рішення: Netinstall через Ethernet (повне переналивання RouterOS) — завантажити Netinstall з mikrotik.com, утримувати reset-кнопку при подачі живлення, пристрій стане в bootloader режимі. Всі налаштування втрачаються — саме тому важливо мати /export file=config backup перед проблемами.
Backup не відновлюється на іншій моделі
- Симптом: /system backup load видає помилку або частина налаштувань не застосовується на новому роутері.
- Причина: Binary backup (.backup) прив'язаний до моделі, версії RouterOS і MAC-адрес інтерфейсів. На іншому пристрої інтерфейси називаються інакше (ether1 vs sfp1).
- Рішення: Використовувати текстовий export: /export file=config-2026 — файл .rsc, який можна редагувати і застосувати через /import file-name=config-2026.rsc. Перед import — вручну підправити імена інтерфейсів. Див. MikroTik backup.
Див. також¶
- MikroTik Firewall — детальна конфігурація firewall
- DHCP та DNS — налаштування DHCP та DNS
- Troubleshooting — вирішення проблем
- Backup та відновлення — резервне копіювання
- Глосарій: MikroTik
Шлях: networking/mikrotik/routeros-basics.md