Настройка mikrotik hap ac2 с нуля и установка Wi-Fi в роутере MikroTK

Настройка подключения для iPhone. Почему телефон отключается от Wi-Fi-сети?

Делается это так же через Winbox. Чтобы попасть в основные настройки сервера выберите . Для дополнительных параметров два раз кликните по вашему DHCP-серверу. В этом окне и будет параметр lease time

Как вам статья?

MikroTik Neighbor discovery protocol is used to show and recognize other MikroTik routers in the network. Disable neighbor discovery on public interfaces:

/ip neighbor discovery-settings set discover-interface-list=listBridge

Если вам тяжело,  значит вы держите топ. Если у вас микротик — вы не ищете легких путей. Зато ищите качество и стабильную работу на втором и третьем уровне модели OSI. Многие, несмотря на приличный прайс, покупают роутеры этого вендора себе домой, поэтому есть необходимость рассказать про базовые mikrotik настройки на операционной системе RouterOS

Краткое описание: Руководство по сбросу к заводским настройкам устройств MikroTik используя кнопку Reset и Winbox.

Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

Давайте теперь затюним нашу базовую конфигурацию

Первый делом, изменим дефолтуню сеть 192.168.88.* на что-нибудь другое. Можно на обычную 192.168.0.* или 192.168.1.* Но мы сделаем что-нибудь не совсем обычное, например 172.16.16.* Любая другая сеть настраивается аналогичным образом.

Можно отредактировать дефолтный, можно его удалить, нажав на кнопку со знаком минус, а добавить новый, нажав на кнопку со знаком плюс. Суть одинаковая. Нажимаем ОК. Теперь роутер будет выдавать устройствам адреса из новой сети

Далее нам нужно другие параметры, выдаваемые роутером, вместе с адресом. Как минимум, это должен быть адрес шлюза — адрес устройства, через которое мы выходим в интернет. То есть, нашего роутера. Идём в IP — DHCP Server, во вкладку Networks. Здесь также, можно изменить имеющееся значение, можно его удалить, и добавить новое:

Прописываем в поле Address нашу сеть 172.16.16.0/24 (24 — это маска подсети, объяснение этого параметра выходит за рамки статьи), в поле Gateway — адрес нашего роутера, 172.16.16.1. Здесь можно играться с настройками, но нужно понимать, что и для чего вы делаете. Остальные строки не трогаем, это ещё более тонкие настройки, в большинстве случаев они не нужны

Затем можно зайти во вкладку DHCP, открыть там свойства DHCP-сервера, и поменять время, на которое выдаются адреса устройствам (Lease Time) на 24 часа, то есть на сутки. Можно больше, но я предпочитаю ставить сутки. Меньше ставить не стоит, если вы точно не знаете, зачем это вам нужно

Теперь изменим адрес самого роутера. Заходим в IP — adresses, и видим как минимум две строчки — одну, с адресом, который нам выдал провайдер, с буковкой D, что означает dynamic, то есть адрес динамически назначен нам провайдером. И его изменить мы не можем. Вторая строка — адрес самого роутера, и вот его-то нам и нужно изменить. Двойным щелчком открываем параметр, и в строке address вбиваем 172.16.16.1/24. В строке Network, просто нажимаем на стрелочку направленную вверх, и скрываем данные в строке, роутер подставит их автоматически:

На этом, настройка сети закончена

Теперь настроим корректное время. Переходим в меню System — Clock, снимаем галочку Time Zone Autodetect, так как она не всегда работает корректно, и настроим всё ручками. Time Zone Name выбираем manual:

На вкладке Manual Time Zone, в строке Time Zone, вводим смещение вашего часового пояса. В моём случае, с Красноярским времени, это будет +7, в Москве +3

Для автоматической синхронизации времени через интернет идём в System — SNTP Client, ставим галочку Enabled, в поле Primary NTP Server вводим ru.pool.ntp.org, или адрес другого сервера точного времени, который вам нравится. Жмём ОК

Теперь наш роутер работает по точному времени

Следующим этапом, отключим ненужные пути управления нашим роутером, а для нужных, ограничим адреса, с которых можно управлять роутером. Заходим в IP — Services, и нажатием на крестик, отключаем все сервисы, кроме Winbox. Если вы точно знаете, что вам нужно оставить что-то ещё, оставляйте. Но тогда, вам не нужна данная инструкция 🙂

Чтобы ещё больше обезопасить себя, двойным щелчком открываем строку Winbox, и в поле Available From, вбиваем нашу сеть 172.16.16.0/24. Таким образом, к нашему роутеру, через винбокс, можно будет подключиться только с адресов из нашей сети

Теперь перейдем в System — Identity, и персонализируем наш роутер, дав ему понятное имя. В моём случае, это home. Вы можете назвать его по вашему желанию

Это название будет высвечиваться в заголовке окна винбокса, и в разделе Neighbors, перед входом на роутер

Теперь подкрутим Wi-Fi. Идём в раздел Wireless, и видим там два интерфейса, wlan1, и wlan2. Один из них, Wi-Fi работающий на частоте 2,4GHz, второй — на частоте 5GHz. Открываем сначала один, в поле SSID вводим желаемое имя сети Wi-Fi, в поле Country, выбираем Russia4, тем самым, настройки будут адаптированы под российское законодательство

То же самое делаем со вторым интерфейсом. Имена сетей (SSID) настоятельно рекомендую делать разными:

Ну и наконец сделаем бэкап настроек роутера. Заходим в раздел Files, нажимаем кнопку Backup, в поле Name вводим имя файла бэкапа. Я предпочитаю в имени файла прописывать дату создания бэкапа. Файл можно запаролить, но я бы не стал этого делать, чтобы не оказалось так, что нужно восстановить настройки, а пароль забыли 🙂 Поэтому ставим галочку Don`t Encrypt. Нажимаем кнопку Backup, ждем несколько секунд, и в списке появляется наш файл. Сразу же копируем его на компьютер, нажав на него правой кнопкой мыши, и выбрав строку Download

На этом легкий тюнинг настроек закончен. Буду рад комментариям, вопросам, конструктивной критике, предложениям, о чем рассказать в следующий раз. Можно ещё тоньше подтюнить Wi-Fi, создать белый список устройств, которым можно подключаться по Wi-Fi. Можно настроить другие типы подключения к интернету, или настроить VPN для обхода блокировок. Подключить резервный канал интернета, и многое-многое другое

Много времени утекло с момента написания статьи по настройке MikroTik RB750. Созрела Router OS v6. Вышло много моделей роутеров с поддержкой 802.11AC. Wi-Fi появился в 90% продукции MikroTik для SOHO. Появился Quick Set, который сильно упростил настройку начинающим пользователям. Но мы же хотим вручную всё настраивать? С пониманием всех нюансов! Рассмотрим пример настройки Wi-Fi на самом перспективном роутере MikroTik — hAP AC^2

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

Хороший роутер: Четырёхядерный CPU IPQ-4018 с частотой 716 мГц и архитектурой ARM, 128 mb ОЗУ, 2.5 dbi антены, 5 гигабитных Ethernet портов, поддержка 802.11AC wave-2. Всё по феншую 🙂

Покуда вы знакомитесь с этой инструкцией и у вас есть интернет, качаете WinBox последней версии от сюда если у вас Windows: https://mikrotik.com/download .Если у вас Mac то есть та же утилита WinBox4Mac только запускаемая из под wine: https://joshaven.com/resources/tools/winbox-for-mac/

Настройка интернета на роутере MikroTik hAP AC^2

Запускаем WinBox и находим в сети роутер с IP 192.168.88.1. Зацепить можно не только по IP но и по MAC, что мы и сделаем:

Первое, что надо сдалать зайти IP/DHCP Client и увеличить метрику (Default route distance):

Это позволит при замене терминала или его сбросе на заводские настройки сразу иметь интернет на роуторе и у пользователей если вы настроите интернет через PPPoE client:

 Иногда это позволяет выиграть время для устранения сбоя.

Пока интернет работает можно обновить ПО на роутере:

Нажимаем Check For Updates:

Проверяем обновления Long Term: Самые надёжные и провереные обновления с минимумом ошибок.

После установки обновлений и перезагрузки роутера создадим PPPoE клиент:

Напишем название PPPoE клиента, и ethernet интерфейс на который его навесим:

И поставим галочку Use Peer DNS если вы не собираетесь резервировать интернет соединение с помощью другого интернет провайдера. (Через резервного провайдера DNS ByFly могут быть недоступны) 

Добавляем созданый интерфейс ByFly в Interface List WAN:

Проще всего копированием и редактированием ether1 в листе WAN. 

Это действие добавляет scr-nat -> masquarade на интерфейс ByFly и блокирует подключение из интернета к нему, что уменьшит число DDOS атак на ваш роутер.

Теперь можно позвонить на ByFly (телефон 123) и попросить чтобы ваш терминал (Промсвязь или Huawei) перенастроили из роутера в бридж. После этого если у вас всё правильно напротив интерфейса ByFly загорится буква R:

Интернет по кабелю уже должен работать!

Настройка Wi-Fi на роутере MikroTik hAP AC^2

Для начало настроим профиль где укажем пароль сети и алгоритмы шифрования: От использования WPA PSK и tkip в целях улучшения производительности и защищённости сети имеет смысл отказаться. Если хотите обеспечить максимальную совместимость — галочки надо поставить всё же.

Назовём нашу сеть как-нибудь: MikroTik и выберем регион:

После нажатия кнопочки Advanced Mode можно увидеть больше настроек: можно выбрать Security Profile. 

1. Можно включить «WMM support» чтобы sip телефоны меньше хрюкали через Wi-Fi, если они есть в сети. Если их нет, то включение может немного уменьшить производительность.
2. Можно выключить WPS mode и увеличить этим защищённость вашей сети. Если у вас один Apple дома, выключайте — iPhone, iPad и Mac всё равно не поддерживают этот протокол.
3. В старых версиях Router OS с фиксированными зачениями Frequency лучше работал Wi-Fi. В новых, возможно, с значением Auto работает лучше.
4. Если сеть общественная — имеет смысл выключить передачу данных между клиентами сняв галочку Default Forward. Это увеличит ёмкость сети.
5. Использование Band B/G/N позволит сделать сеть максимально совместимой. Некоторые клиенты с поддержкой N протокола не могут соединиться с сетью в которой отключён B/G.

1. Если у вас старые iPad 1, 2 iPad mini имеет смысл включить длинную преамбулу. Возможно в других устройствах это тоже уменьшит торможение Wi-Fi.
2. Мощность передатчика в hAP AC lite, hAP AC, hAP AC^2 не имеет смысл регулировать. Как правило это уменьшит производительность и совместимость
3. Hw. Protection Mode: Данный пункт может помочь в решении проблемы скрытого узла, если указать «rts cts».
   Совсем кратко: 802.11 (он же вифи) – это единая среда передачи данных (Вспомните устройство ХАБ), а в стандарте 802.11 указанно, что клиенты сами определяют между собой, кто и когда будет производить запись, НО есть один нюанс это условие будет работать, только если клиенты видят друг друга напрямую. Если же два клиента начнут писать одновременно, то мы получаем коллизию.

 Клиенты А и B видят друг друга, а А и С нет.

Включение «rts cts» помогает уменьшить количество лагов в сетях с большим количеством клиентов.

Аналогично настраивается 5гГц

Это позволит получить роуминг между сетью 2.4 гГц и 5 гГц. Как это будет работать можно почитать тут.

Если вам нужно больше настроек Wi-Fi то можно почитать эту статью: 

Настройка роутера MikroTik для дома и малого офиса завершена. Возможно вы захотите обратиться за платной настройкой к нам.

Если вы хотите использовать MikroTik в средней локальной сети необходимо подумать как ограничить трафик пользователей: настройка ограничений скорости для пользователей на MikroTik с помощью динамического шейпинга.

Для Wi-Fi можно также настроить мак фильтрацию на MikroTik

Connecting to the Router

There are two types of routers:

• With default configuration
• Without default configuration. When no specific configuration is found, IP address 192.168.88.1/24 is set on ether1 or combo1, or sfp1.

More information about the current default configuration can be found in the Quick Guide document that came with your device. The quick guide document will include information about which ports should be used to connect for the first time and how to plug in your devices.

This document describes how to set up the device from the ground up, so we will ask you to clear away all defaults.

Назначение IP-адреса DNS

Обычно провайдер уже предоставляет DNS-адреса, но мы модем прописать их и вручную на Mikrotik. Будем использовать стандартные гугловские — 8.8.8.8 или 8.8.4.4. Это можно сделать в меню IP -> DNS. Ставим отметку на чекбоксе «Allow Remote Request»

IP Connectivity Access

/user set 0 allowed-address=x.x.x.x/yy

x.x.x.x/yy — your IP or network subnet that is allowed to access your router.

IP connectivity on the public interface must be limited in the firewall. We will accept only ICMP(ping/traceroute), IP Winbox, and ssh access.

/ip firewall filter
  add chain=input connection-state=established,related action=accept comment="accept established,related";
  add chain=input connection-state=invalid action=drop;
  add chain=input in-interface=ether1 protocol=icmp action=accept comment="allow ICMP";
  add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox";
  add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH";
  add chain=input in-interface=ether1 action=drop comment="block everything else";

In case if a public interface is a pppoe, then the in-interface should be set to «pppoe-out».

The first two rules accept packets from already established connections, so we assume those are OK to not overload the CPU. The third rule drops any packet which connection tracking thinks is invalid. After that, we set up typical accept rules for specific protocols.

If you are using Winbox/Webfig for configuration, here is an example of how to add an established/related rule:

• Open Ip -> Firewall window, click on Filter rules tab;
• Click on the + button, a new dialog will open;
• Select chain input, click on Connection state, and select checkboxes for established and related;
• Click on the Action tab and make sure action accept is selected;
• Click on the Ok button to apply settings.

To add other rules click on + for each new rule and fill the same parameters as provided in the console example.

Protecting the Clients

Now it is time to add some protection for clients on our LAN. We will start with a basic set of rules.

/ip firewall filter
  add chain=forward action=fasttrack-connection connection-state=established,related \
    comment="fast-track for established,related";
  add chain=forward action=accept connection-state=established,related \
    comment="accept established,related";
  add chain=forward action=drop connection-state=invalid
  add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \
    in-interface=ether1 comment="drop access to clients behind NAT from WAN"

A ruleset is similar to input chain rules (accept established/related and drop invalid), except the first rule with action=fasttrack-connection. This rule allows established and related connections to bypass the firewall and significantly reduce CPU usage.

Another difference is the last rule which drops all new connection attempts from the WAN port to our LAN network (unless DstNat is used). Without this rule, if an attacker knows or guesses your local subnet, he/she can establish connections directly to local hosts and cause a security threat.

Blocking Unwanted Websites

First, we need to add a NAT rule to redirect HTTP to our proxy. We will use RouterOS built-in proxy server running on port 8080.

/ip firewall nat
  add chain=dst-nat protocol=tcp dst-port=80 src-address=192.168.88.0/24 \
    action=redirect to-ports=8080

Enable web proxy and drop some websites:

/ip proxy set enabled=yes
/ip proxy access add dst-host=www.facebook.com action=deny
/ip proxy access add dst-host=*.youtube.* action=deny
/ip proxy access add dst-host=:vimeo action=deny

• On the left menu navigate to IP -> Web Proxy
• Web proxy settings dialog will appear.
• Check the «Enable» checkbox and click on the «Apply» button
• Then click on the «Access» button to open the «Web Proxy Access» dialog

• In the «Web Proxy Access» dialog click on «+» to add a new Web-proxy rule
• Enter Dst hostname that you want to block, in this case, «www.facebook.com«, choose the action «deny»
• Then click on the «Ok» button to apply changes.
• Repeat the same to add other rules.

Protecting the Router

Now anyone over the world can access our router so it is the best time to protect it from intruders and basic attacks

Как сбросить роутер MikroTik до заводских настроек

Стоит ошибиться в одном правиле FireWall, как устройство MikroTik станет недоступным для управления. Также распространенные случаи:

1. Неверно установлен пароль администратора;
2. Устройство взломано;
3. Пароль неизвестен.

Во всех этих ситуация нужно воспользоваться кнопкой Reset, которая вернет роутер к базовой конфигурации или к заводским настройкам. Процедура подходит ко всем современным устройствам MikroTik и является универсальным средством по восстановлению работы.

Сброс MikroTik через кнопку Reset

Рассмотрим сброс на примере маршрутизатора MikroTik RB3011UiAS-RM

На задней панели расположена кнопка RESET

Необходимо последовательно совершить действия:

1. Отключить питание роутера;
2. Нажать и держать кнопку Reset;
3. Включить питание роутера(Reset нажат);
4. Подождать 5-6сек., в этот момент должен замигать какой-то индикатор(ACT|SYS| или другой);
5. Как только замигал индикатор. отпустить Reset.

Если на MikroTik нет указанного индикатора, достаточно подождать 5-6сек.

Сброс MikroTik используя Winbox

/system -configuration -=yes -=yes

Сбросить настройки MikroTik через командную строку (Terminal)

/system reset-configuration no-defaults=yes

Administrative Services

Although the firewall protects the router from the public interface, you may still want to disable RouterOS services.

Keep only secure ones,

/ip service disable telnet,ftp,www,api

Change default service ports, this will immediately stop most of the random SSH brute force login attempts:

/ip service set ssh port=2200

/ip service set winbox address=192.168.88.0/24

Setting up Wireless

For ease of use bridged wireless setup will be made so that your wired hosts are in the same Ethernet broadcast domain as wireless clients.

The important part is to make sure that our wireless is protected, so the first step is the security profile.

Security profiles are configured from /interface wireless security-profiles menu in a terminal.

/interface wireless security-profiles
  add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \
    wpa2-pre-shared-key=1234567890

in Winbox/Webfig click on Wireless to open wireless windows and choose the Security Profile tab.

If there are legacy devices that do not support WPA2 (like Windows XP), you may also want to allow WPA protocol.

Now when the security profile is ready we can enable the wireless interface and set the desired parameters

/interface wireless
  enable wlan1;
  set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \
    mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \
    security-profile=myProfile frequency-mode=regulatory-domain \
    set country=latvia antenna-gain=3

To do the same from Winbox/Webfig:

• Open Wireless window, select wlan1 interface, and click on the enable button;
• Double click on the wireless interface to open the configuration dialog;
• In the configuration dialog click on the Wireless tab and click the Advanced mode button on the right side. When you click on the button additional configuration parameters will appear and the description of the button will change to Simple mode;
• Choose parameters as shown in the screenshot, except for the country settings and SSID. You may want to also choose a different frequency and antenna gain;
• Next, click on the HT tab and make sure both chains are selected;
• Click on the OK button to apply settings.

The last step is to add a wireless interface to a local bridge, otherwise connected clients will not get an IP address:

/interface bridge port
  add interface=wlan1 bridge=local

Now wireless should be able to connect to your access point, get an IP address, and access the internet.

Dynamic Public IP

Dynamic address configuration is the simplest one. You just need to set up a DHCP client on the public interface. DHCP client will receive information from an internet service provider (ISP) and set up an IP address, DNS, NTP servers, and default route for you.

/ip dhcp-client add disabled=no interface=ether1

After adding the client you should see the assigned address and status should be bound

[admin@MikroTik] /ip dhcp-client> print
Flags: X - disabled, I - invalid
 #   INTERFACE           USE ADD-DEFAULT-ROUTE STATUS        ADDRESS
 0   ether1               yes yes               bound         1.2.3.100/24

PPPoE Connection

/interface pppoe-client
  add disabled=no interface=ether1 user=me password=123 \
    add-default-route=yes use-peer-dns=yes

• Open PPP window, Interfaces tab should be selected;
• Click on the + button, and choose PPPoE Client from the dropdown list, new dialog will open;
• Select interface ether1 from the dropdown list and click on the OK button to apply settings.

Further in configuration WAN interface is now pppoe-out interface, not ether1.

Настройка Firewall

Чтобы избежать проблем с DDoS и низкой скорости внутри LAN необходимо: во-первых, обновить прошивку до актуальной (https://mikrotik.com/download), во-вторых, закрыть снаружи 53 порт для блокировки трафика на входящем интерфейсе (по UDP из WAN). Сделать это можно в настройках IP -> Firewall -> Filter Rules. Добавляем в него

/ip firewall filter

add chain=input action=drop protocol=udp in-interface=ISP1 dst-port=53

Configuring Internet Connection

The next step is to get internet access to the router. There can be several types of internet connections, but the most common ones are:

• dynamic public IP address;
• static public IP address;
• PPPoE connection.

Настройка NAT

Последнее действие включение NAT, чтобы наши ПК смогли получить серые IP для выхода в интернет. Заходим в IP -> NAT. В открывшемся окне New NAT Rue из пункта Chain выбираем и в поле вбиваем IP LAN (192.168.10.0/24), применяем и сохраняем.

User Password Access

MikroTik routers require password configuration, we suggest using a password generator tool to create secure and non-repeating passwords. With secure password we mean:

• Minimum 12 characters;
• Include numbers, Symbols, Capital and lower case letters;
• Is not a Dictionary Word or Combination of Dictionary Words;

/user set 0 password="!={Ba3N!40TуX+GvKBzjTLIUcx/,"

Another option to set a password,

We strongly suggest using a second method or Winbox interface to apply a new password for your router, just to keep it safe from other unauthorized access.

[admin@MikroTik] > / password
old password:
new password: ******
retype new password: ******

Make sure you remember the password! If you forget it, there is no recovery. You will need to reinstall the router!

/user add name=myname password=mypassword group=full
/user remove admin

Verify Connectivity

After successful configuration, you should be able to access the internet from the router.

Verify IP connectivity by pinging known IP address (google DNS server for example)

[admin@MikroTik] > /ping 8.8.8.8
HOST                                     SIZE TTL TIME  STATUS
8.8.8.8                                    56  47 21ms
8.8.8.8                                    56  47 21ms

Verify DNS request

[admin@MikroTik] > /ping www.google.com
HOST                                     SIZE TTL TIME  STATUS
173.194.32.49                              56  55 13ms
173.194.32.49                              56  55 12ms

If everything is set up correctly, ping in both cases should not fail.

In case of failure refer to the troubleshooting section

Назначение шлюза LAN

Теперь соединим наш микротик с коммутатором, который будет раздавать интернет по локальный сети нашим компьютерам. Заходим в IP -> Addresses . Нажимаем добавить (add). Вводим айпишник нашего LAN-шлюза (192.168.10.1/24). В меню интерфейс выбираем ether2 и применяем ОК

Static Public IP

In the case of static address configuration, your ISP gives you parameters, for example:

• IP: 1.2.3.100/24
• Gateway: 1.2.3.1
• DNS: 8.8.8.8

These are three basic parameters that you need to get the internet connection working

To set this in RouterOS we will manually add an IP address, add a default route with a provided gateway, and set up a DNS server

/ip address add address=1.2.3.100/24 interface=ether1
/ip route add gateway=1.2.3.1
/ip dns set servers=8.8.8.8

Вход в настройки

Router without Default Configuration

If there is no default configuration on the router you have several options, but here we will use one method that suits our needs.

Connect Routers ether1 port to the WAN cable and connect your PC to ether2. Now open WinBox and look for your router in neighbor discovery. See detailed example in Winbox article.

If you see the router in the list, click on MAC address and click Connect.

The simplest way to make sure you have absolutely clean router is to run

/system reset-configuration no-defaults=yes skip-backup=yes

Or from WinBox (Fig. 1-1):

MAC Connectivity Access

By default mac server runs on all interfaces, so we will disable default all entry and add a local interface to disallow MAC connectivity from the WAN port. MAC Telnet Server feature allows you to apply restrictions to the interface «list».

First, create an interface list:

[admin@MikroTik] > /interface list add name=listBridge

Then, add your previously created bridge named «local» to the interface list:

[admin@MikroTik] > /interface list member add list=listBridge interface=local

Apply newly created «list» (of interfaces) to the MAC server:

[admin@MikroTik] > tool mac-server set allowed-interface-list=listBridge 

Do the same for Winbox MAC access

[admin@MikroTik] > tool mac-server mac-winbox set allowed-interface-list=listBridge  

• Open Interfaces → Interface List → Lists window and add a new list by clicking «+»;
• Input the interface list name «listBridge» into the Name field and click OK;
• Go back to the Interfaces → Interface List section and click «+»;
• Select «listBridge» from the dropdown List options and select «local» from the dropdown Interface options and click OK;
• Open Tools -> Mac Server window;
• Click on the «MAC Telnet Server» button, a new dialog will open;
• Select the newly created list «listBridge» from the dropdown list and click on OK button to apply settings.

Другие примеры по сбросу настроек в устройствах MikroTik

Для расширения возможных вариантов по сбросу настроек в устройствах MikroTik(роутер, коммутатор, точка дочка доступа WiFi) буду рассмотрены примеры на основе популярных моделей.

Сброс (Hard Reset)до заводских настроек MikroTik cAP ac

Кнопка сброса имеет три функции:

• Удерживайте кнопку RESET во время загрузки, пока светодиодные индикаторы(LED) не начнут мигать, отпустите кнопку для сброса RouterOS конфигурации(всего 5 секунд).
• Продолжайте удерживать еще 5 секунд, светодиодные индикаторы(LED) будут гореть постоянно, отпустите кнопку сейчас, чтобы включить режим CAP. Устройство будет теперь искать сервер CAPsMAN(всего 10 секунд).
• Или удерживайте кнопку еще 5 секунд, пока светодиодные индикаторы(LED) не погаснут, затем отпустите ее, чтобы RouterBOARD начал поиск сервера Netinstall(всего 15 секунд).

Сброс (Hard Reset) до заводских настроек

Кнопка сброса RouterBOOT имеет следующие функции:

• Удерживайте кнопку RESET перед включением устройства, и при включении кнопка принудительно загрузит резервный загрузчик. Продолжайте удерживать кнопку для двух других функций этой кнопки.
• Отпустите кнопку, когда зеленый светодиодные индикаторы(LED) начнут мигать, чтобы сбросить конфигурацию RouterOS. Не загружать резервную копию загрузчика, вы можете начать удерживать кнопку после подачи питания.
• Отпустите кнопку после того, как светодиодные индикаторы(LED) перестанут мигать(~ 20 секунд), чтобы устройство начало поиск сервера Netinstall(требуется для  переустановки RouterOS по сети).

Сброс (Hard Reset) до заводских настроек MikroTik hAP ac2

Кнопка сброса RouterBOOT имеет следующие функции:

• Удерживайте кнопку RESET перед включением устройства, и при включении кнопка принудительно загрузит резервный загрузчик. Продолжайте удерживать кнопку для двух других функций этой кнопки.
• Отпустите кнопку, когда зеленый светодиодные индикаторы(LED) начнут мигать, чтобы сбросить конфигурацию RouterOS. Не загружать резервную копию загрузчика, вы можете начать удерживать кнопку после подачи питания.
• Отпустите кнопку после того, как светодиодные индикаторы(LED) перестанут мигать(~ 20 секунд), чтобы устройство начало поиск сервера Netinstall(требуется для  переустановки RouterOS по сети).

Сброс (Hard Reset) до заводских настроек

Удерживайте кнопку Reset во время загрузки, пока светодиод не начнет мигать. Отпустите кнопку, чтобы сбросить конфигурацию SwOS и загрузить программу резервного копирования для переустановки и обновления.

Независимо от используемого выше параметра, система будет загружать резервный загрузчик RouterBOOT, если нажата кнопка до подачи питания на устройство. Полезно для отладки и восстановления RouterBOOT.

Настройка PPPoE на интерфейсе WAN

Для настройки клиента необходимо зайти в пункт меню PPP и нажать кнопку Add (добавить) и в списке выбираем

Port Forwarding

Some client devices may need direct access to the internet over specific ports. For example, a client with an IP address 192.168.88.254 must be accessible by Remote desktop protocol (RDP).

After a quick search on Google, we find out that RDP runs on TCP port 3389. Now we can add a destination NAT rule to redirect RDP to the client’s PC.

/ip firewall nat
  add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \
    action=dst-nat to-address=192.168.88.254

If you have set up strict firewall rules then RDP protocol must be allowed in the firewall filter forward chain.

Схема подключения

Что у нас с интерфейсами: будет подключен к провайдеру (WAN порт), Предположим, что к порту будет подсоединён свитч для подключения компьютеров локальной сети. Итого схема такая:

Т.е. для полноценной работы нам потребуются следующие шаги:

• Настройка клиента PPPoE. Интерфейс ether1 (WAN)
• Назначение шлюза LAN. Интерфейс ether2 для коммутатора (LAN с IP-блоком 192.168.10.0/24)
• Конфигурация DNS IP
• Конфигурация NAT. Компьютеры должны получать серый IP для выхода в интернет

Troubleshooting

RouterOS has built-in various troubleshooting tools, like ping, traceroute, torch, packet sniffer, bandwidth test, etc.

We already used the ping tool in this article to verify internet connectivity.

Other Services

A bandwidth server is used to test throughput between two MikroTik routers. Disable it in the production environment.

/tool bandwidth-server set enabled=no 

A router might have DNS cache enabled, which decreases resolving time for DNS requests from clients to remote servers. In case DNS cache is not required on your router or another router is used for such purposes, disable it.

/ip dns set allow-remote-requests=no

Some RouterBOARDs have an LCD module for informational purposes, set pin or disable it.

It is good practice to disable all unused interfaces on your router, in order to decrease unauthorized access to your router.

/interface print 
/interface set x disabled=yes

Where «X» is a number of the unused interfaces.

RouterOS utilizes stronger crypto for SSH, most newer programs use it, to turn on SSH strong crypto:

/ip ssh set strong-crypto=yes

• MikroTik caching proxy,

• MikroTik socks proxy,

• MikroTik UPNP service,

• MikroTik dynamic name service or IP cloud,

/ip cloud set ddns-enabled=no update-time=no

At this point, PC is not yet able to access the Internet, because locally used addresses are not routable over the Internet. Remote hosts simply do not know how to correctly reply to your local address.

The solution for this problem is to change the source address for outgoing packets to routers public IP. This can be done with the NAT rule:

/ip firewall nat
  add chain=srcnat out-interface=ether1 action=masquerade

In case if a public interface is a pppoe, then the out-interface should be set to «pppoe-out».

Another benefit of such a setup is that NATed clients behind the router are not directly connected to the Internet, that way additional protection against attacks from outside mostly is not required.

Configuring IP Access

Since MAC connection is not very stable, the first thing we need to do is to set up a router so that IP connectivity is available:

• add bridge interface and bridge ports;
• add an IP address to LAN interface;
• set up a DHCP server.

Set bridge and IP address are quite easy:

/interface bridge add name=local
/interface bridge port add interface=ether2 bridge=local
/ip address add address=192.168.88.1/24 interface=local

If you prefer WinBox/WeBfig as configuration tools:

• Open Bridge window, Bridge tab should be selected;
• Click on the + button, a new dialog will open, enter bridge name local and click on OK;
• Select the Ports tab and click on the + button, a new dialog will open;
• select interface ether2 and bridge local form drop-down lists and click on the OK button to apply settings;
• You may close the bridge dialog.

• Open Ip -> Addresses dialog;
• Click on the + button, a new dialog will open;
• Enter IP address 192.168.88.1/24 select interface local from the drop-down list and click on OK button;

The next step is to set up a DHCP server. We will run the setup command for easy and fast configuration:

      [admin@MikroTik] /ip dhcp-server setup [enter]
      Select interface to run DHCP server on

      dhcp server interface: local [enter]
      Select network for DHCP addresses

      dhcp address space: 192.168.88.0/24 [enter]
      Select gateway for given network

      gateway for dhcp network: 192.168.88.1 [enter]
      Select pool of ip addresses given out by DHCP server

      addresses to give out: 192.168.88.2-192.168.88.254 [enter]
      Select DNS servers

      dns servers: 192.168.88.1 [enter]
      Select lease time

      lease time: 10m [enter]

Notice that most of the configuration options are automatically determined and you just simply need to hit the enter key.

The same setup tool is also available in WinBox/WeBfig:

• Open Ip -> DHCP Server window, DHCP tab should be selected;
• Click on the DHCP Setup button, a new dialog will open, enter DHCP Server Interface local and click on Next button;
• Follow the wizard to complete the setup.

Now connected PC should be able to get a dynamic IP address. Close the Winbox and reconnect to the router using IP address (192.168.88.1)

Troubleshoot if ping fails

The problem with the ping tool is that it says only that destination is unreachable, but no more detailed information is available. Let’s overview the basic mistakes.

You cannot reach www.google.com from your computer which is connected to a MikroTik device:

If you are not sure how exactly configure your gateway device, please reach MikroTik’s official consultants for configuration support.