MikroTik RouterOS: от простого NAT до сложной маршрутизации

MikroTik RouterOS — это операционная система для маршрутизаторов, которая сочетает в себе мощь enterprise-решений и доступную цену. Она используется провайдерами, дата-центрами, офисами и даже дома. В этом гайде мы разберём настройку RouterOS от базовой до продвинутой — NAT, firewall, VLAN, VPN и QoS.

Способы доступа к RouterOS

• WinBox — графическая утилита для Windows (есть и для Wine/Linux). Самый удобный способ для новичков.
• WebFig — веб-интерфейс (порт 80/443).
• SSH/Telnet — командная строка.
• Console — через COM-порт (для восстановления).

Базовая настройка роутера MikroTik

Сбросим настройки до заводских и настроим с нуля через CLI (или WinBox):

/system reset-configuration no-defaults=yes   # чистый сброс
/interface bridge add name=bridge1              # создаём bridge для LAN
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
/ip address add address=192.168.88.1/24 interface=bridge1
/ip dhcp-server add name=dhcp1 interface=bridge1
/ip pool add name=pool1 ranges=192.168.88.10-192.168.88.200
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=8.8.8.8
/ip dhcp-server set dhcp1 address-pool=pool1 enabled=yes
/ip route add gateway=ether1                     # default route через WAN (если ISP даёт IP по DHCP)

Настройка NAT (маскарадинг) для выхода в интернет

Если ваш WAN-порт (ether1) получает IP от провайдера, добавьте правило маскарадинга:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Если у вас статический IP на WAN:

/ip address add address=1.2.3.4/24 interface=ether1
/ip route add gateway=1.2.3.1
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Firewall на MikroTik: базовые правила

Защищаем роутер извне и разрешаем только нужное:

/ip firewall filter
# Разрешаем уже установленные соединения
add chain=input connection-state=established,related action=accept
# Разрешаем ICMP (ping) для диагностики
add chain=input protocol=icmp action=accept
# Разрешаем доступ к роутеру только из LAN
add chain=input src-address=192.168.88.0/24 protocol=tcp dst-port=22,80,443,8291 action=accept
# Запрещаем всё остальное на input
add chain=input action=drop

# Защита от SYN flood
add chain=input protocol=tcp tcp-flags=syn limit=100,5 action=accept
add chain=input protocol=tcp tcp-flags=syn action=drop

# Drop invalid пакетов
add chain=input connection-state=invalid action=drop

Настройка VLAN на MikroTik

Создаём VLAN 10 и 20 на bridge, назначаем IP и DHCP:

/interface vlan add name=vlan10 vlan-id=10 interface=bridge1
/interface vlan add name=vlan20 vlan-id=20 interface=bridge1
/ip address add address=10.10.10.1/24 interface=vlan10
/ip address add address=10.10.20.1/24 interface=vlan20
/ip pool add name=pool10 ranges=10.10.10.10-10.10.10.200
/ip pool add name=pool20 ranges=10.10.20.10-10.10.20.200
/ip dhcp-server add name=dhcp10 interface=vlan10 address-pool=pool10
/ip dhcp-server add name=dhcp20 interface=vlan20 address-pool=pool20
/ip dhcp-server network add address=10.10.10.0/24 gateway=10.10.10.1 dns-server=8.8.8.8
/ip dhcp-server network add address=10.10.20.0/24 gateway=10.10.20.1 dns-server=8.8.8.8

Настройка VPN (WireGuard) на MikroTik

WireGuard — самый быстрый и безопасный VPN для MikroTik (требуется RouterOS 7+):

/interface wireguard add name=wg1 private-key="..." listen-port=51820
/ip address add address=10.0.0.1/24 interface=wg1
/interface wireguard peers add interface=wg1 public-key="..." allowed-address=10.0.0.2/32
/ip firewall nat add chain=srcnat src-address=10.0.0.0/24 action=masquerade
/ip route add dst-address=192.168.100.0/24 gateway=10.0.0.2   # маршрут до клиента

QoS (Simple Queues) — ограничение скорости

Ограничим скорость для клиента 192.168.88.100 до 10 Мбит/с на скачивание и 2 Мбит/с на отдачу:

/queue simple add name="Client1" target=192.168.88.100/32 max-limit=10M/2M

Для PCQ (справедливое распределение между всеми клиентами):

/queue type add name=pcq-download kind=pcq pcq-rate=10M pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-rate=2M pcq-classifier=src-address
/queue simple add name="PCQ-LAN" target=bridge1 queue=pcq-upload/pcq-download

Диагностика и отладка

• /tool ping — проверка связности
• /tool traceroute — трассировка маршрута
• /tool torch — просмотр трафика на интерфейсе в реальном времени
• /log print — просмотр логов
• /interface monitor-traffic — мониторинг скорости
• /ip firewall connection print — просмотр активных соединений

Полезные скрипты и автоматизация

Резервное копирование на FTP каждую ночь:

/system script add name=backup source={
 /export file=backup
 /tool fetch upload=yes url=ftp://user:pass@192.168.1.10/backup.rsc src-path=backup.rsc
}
/system scheduler add name=nightly-backup interval=1d start-time=02:00:00 on-event=backup

Частые ошибки

• Нет default route — интернет не работает, хотя NAT есть
• Маскарадинг на неправильном интерфейсе — должен быть out-interface=WAN
• Firewall rules в неправильном порядке — сначала accept established/related, потом drop
• WinBox не подключается — проверьте, включён ли сервис в IP Services

Заключение: MikroTik RouterOS — это швейцарский нож сетевого инженера. За свою цену вы получаете функционал, который у Cisco стоит десятки тысяч долларов. Освоив NAT, firewall, VLAN и QoS, вы сможете настроить сеть для провайдера, офиса или дата-центра. Начните с WinBox, постепенно переходя к CLI — и MikroTik станет вашим любимым инструментом.