RouterOS Basics¶
Основи роботи з MikroTik RouterOS.
Підключення¶
WinBox¶
Download: https://mikrotik.com/download
Default IP: 192.168.88.1
Default user: admin
Default password: (empty)
SSH¶
ssh admin@192.168.88.1
Web Interface¶
http://192.168.88.1
Перший вхід¶
Зміна пароля¶
/user set admin password=YourSecurePassword
Оновлення RouterOS¶
# Перевірити версію
/system resource print
# Оновити
/system package update check-for-updates
/system package update download
/system reboot
Інтерфейси¶
Перегляд¶
/interface print
/interface ethernet print
Налаштування IP¶
# Статичний IP
/ip address add address=192.168.1.1/24 interface=ether2
# Перегляд IP
/ip address print
VLAN¶
# Створити VLAN
/interface vlan add name=vlan100 vlan-id=100 interface=ether1
# IP для VLAN
/ip address add address=10.100.0.1/24 interface=vlan100
Маршрутизація¶
Default Gateway¶
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.254
Статичні маршрути¶
/ip route add dst-address=10.0.0.0/8 gateway=192.168.1.2
Перегляд таблиці маршрутизації¶
/ip route print
Firewall¶
Базові правила¶
# Дозволити established
/ip firewall filter add chain=input connection-state=established,related action=accept
# Дозволити ICMP
/ip firewall filter add chain=input protocol=icmp action=accept
# Дозволити SSH (обмежено)
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 action=accept
# Заблокувати все інше
/ip firewall filter add chain=input action=drop
NAT (Masquerade)¶
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Port Forwarding¶
/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.100 to-ports=80
Перегляд правил¶
/ip firewall filter print
/ip firewall nat print
Bridge¶
Створення¶
/interface bridge add name=bridge1
Додати порти¶
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
IP для bridge¶
/ip address add address=192.168.1.1/24 interface=bridge1
Wireless (якщо є)¶
Базове налаштування AP¶
/interface wireless set wlan1 mode=ap-bridge ssid="MyNetwork" frequency=2437 band=2ghz-b/g/n
# Безпека
/interface wireless security-profiles add name=profile1 mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key=SecurePassword123
/interface wireless set wlan1 security-profile=profile1
Перегляд клієнтів¶
/interface wireless registration-table print
Корисні команди¶
Система¶
# Статус системи
/system resource print
# Час роботи
/system resource print | grep uptime
# Логи
/log print
# Reboot
/system reboot
# Shutdown
/system shutdown
Backup¶
# Створити backup
/system backup save name=backup-2024
# Export конфігурації (text)
/export file=config-2024
# Відновити
/system backup load name=backup-2024
Моніторинг¶
# Трафік інтерфейсу
/interface monitor-traffic ether1
# Активні з'єднання
/ip firewall connection print
# ARP таблиця
/ip arp print
Scripting¶
Простий скрипт¶
/system script add name=backup-daily source={
/system backup save name=("daily-" . [:pick [/system clock get date] 0 10])
}
Scheduler¶
/system scheduler add name=daily-backup interval=1d on-event=backup-daily
Безпека¶
Відключити непотрібні сервіси¶
/ip service disable telnet,ftp,www,api,api-ssl
/ip service set ssh port=2222
Обмежити доступ¶
/ip service set ssh address=192.168.1.0/24
/ip service set winbox address=192.168.1.0/24
Користувачі¶
# Новий користувач
/user add name=operator password=SecurePass group=read
# Видалити default admin (після створення нового!)
/user remove admin
Типові конфігурації¶
Home Router¶
# WAN на ether1, LAN на bridge
/interface bridge add name=lan
/interface bridge port add bridge=lan interface=ether2
/interface bridge port add bridge=lan interface=ether3
/ip address add address=192.168.88.1/24 interface=lan
/ip pool add name=dhcp-pool ranges=192.168.88.10-192.168.88.254
/ip dhcp-server add name=dhcp1 interface=lan address-pool=dhcp-pool
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=8.8.8.8,8.8.4.4
/ip dhcp-client add interface=ether1 disabled=no
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Шлях: networking/mikrotik/routeros-basics.md