Первичная настройка MikroTik с нуля: безопасность, Wi-Fi, интернет

Вы купили MikroTik (например, hAP lite, hAP mini, RB951), сбросили его до заводских настроек — и теперь хотите настроить его самостоятельно, безопасно и правильно. Эта статья — ваш стартовый гид. Мы пройдёмся по всем ключевым шагам: от обновления прошивки до настройки Wi-Fi и базового файрвола. Особое внимание — защите от известных уязвимостей (включая атаки через порт 53).

Шаг 0: Подготовка и обновление RouterOS

1. Скачайте последнюю версию WinBox с официального сайта.
2. Подключите ПК к любому LAN-порту роутера (кроме первого, если он будет WAN).
3. Запустите WinBox → вкладка Neighbors → найдите ваше устройство по MAC-адресу.
4. Войдите под логином admin с пустым паролем.

Сразу обновите прошивку:

1. Перейдите в System → Packages → Check for Updates.
2. Если доступна новая версия — установите её и перезагрузите роутер.
3. Затем обновите загрузчик: System → Routerboard → Upgrade → перезагрузка.

Шаг 1: Полный сброс конфигурации

Даже если вы только что распаковали роутер — сделайте сброс. Это гарантирует «чистый лист»:

• Перейдите в System → Reset Configuration.
• Поставьте галочки:
  • No Default Configuration
  • Do Not Backup
• Нажмите Reset Configuration.

После перезагрузки снова подключитесь через WinBox (логин admin, пароль пустой).

Шаг 2: Создание bridge и настройка LAN

В современных версиях RouterOS (6.41+) коммутация делается через bridge — это объединяет все LAN-порты и Wi-Fi в одну сеть.

1. Перейдите в Bridge → Bridge → нажмите +.
2. Создайте bridge с именем bridge-local.
3. Перейдите в Bridge → Ports → добавьте:
   • ether2, ether3, ether4, ether5 (LAN-порты)
   • Позже — wlan1 (Wi-Fi)
   Укажите для всех Bridge: bridge-local.
4. Присвойте bridge IP-адрес: IP → Addresses → + → 192.168.88.1/24 на интерфейсе bridge-local.

Шаг 3: Подключение к интернету (WAN)

Подключите кабель провайдера в порт ether1.

• Если провайдер использует DHCP:
  • IP → DHCP Client → + → интерфейс ether1 → галочка Add Default Route.
• Если PPPoE (например, Ростелеком):
  • PPP → + → PPPoE Client → укажите логин/пароль и интерфейс ether1.

Шаг 4: Настройка DHCP-сервера

Чтобы устройства в локальной сети получали IP автоматически:

1. Перейдите в IP → DHCP Server → DHCP Setup.
2. Выберите интерфейс bridge-local.
3. Укажите диапазон адресов, например: 192.168.88.100-199.
4. В качестве DNS-сервера укажите 192.168.88.1 (сам роутер).

Шаг 5: Базовая защита (ОБЯЗАТЕЛЬНО!)

5.1. Отключите ненужные сервисы

Перейдите в IP → Services и отключите всё, кроме:

• www-ssl (для WebFig)
• winbox (можно оставить, но ограничить по IP — см. ниже)
• ssh (по желанию)

Особенно важно отключить: ftp, telnet, www, api, dns.

5.2. Защита от атак через порт 53

Если вы не используете DNS-сервер на роутере — просто отключите его:

/ip service set dns disabled=yes
/ip dns set allow-remote-requests=no

Если DNS нужен (например, для блокировки рекламы), запретите внешние запросы:

/ip firewall filter add chain=input protocol=udp dst-port=53 action=drop comment="Block external DNS"
/ip firewall filter add chain=input protocol=tcp dst-port=53 action=drop comment="Block external DNS TCP"

5.3. Настройка базового файрвола

Добавьте правила в IP → Firewall → Filter Rules:

1. Разрешить локальный доступ к роутеру:
   Chain: input, In. Interface: bridge-local, Action: accept
2. Разрешить established/related из WAN:
   Chain: input, In. Interface: ether1, Connection State: established,related, Action: accept
3. Запретить invalid-пакеты:
   Chain: input, In. Interface: ether1, Connection State: invalid, Action: drop
4. Разрешить ICMP (пинги):
   Chain: input, Protocol: icmp, In. Interface: ether1, Action: accept
5. Запретить всё остальное из WAN:
   Chain: input, In. Interface: ether1, Action: drop

5.4. Ограничьте управление только локальной сетью

В том же разделе IP → Services для winbox и www-ssl укажите:

• Available From: 192.168.88.0/24

Шаг 6: Настройка Wi-Fi

1. Перейдите в Wireless → выберите wlan1 → нажмите Enable.
2. Во вкладке Wireless:
   • Mode: ap bridge
   • SSID: ваше имя сети (например, HomeNet)
   • Band: 2GHz-B/G/N
   • Channel Width: 20MHz (стабильнее в загруженных эфирах)
3. Во вкладке Security Profiles:
   • Authentication Types: wpa2-psk
   • WPA2 Pre-Shared Key: надёжный пароль (12+ символов)
   • WPS Mode: disabled
4. Добавьте wlan1 в bridge-local (Bridge → Ports → +).

Шаг 7: Включите NAT для доступа в интернет

Без этого клиенты не смогут выходить в сеть:

• Перейдите в IP → Firewall → NAT → +.
• Chain: srcnat
• Out. Interface: ether1 (или pppoe-out1, если PPPoE)
• Action: masquerade

Финал: резервная копия и пароль

1. Обязательно задайте пароль: System → Users → admin → Password.
2. Создайте резервную копию: Files → Backup → укажите имя и пароль для файла.
3. Сохраните файл на компьютер — он спасёт вас при сбое.

Готово!

Теперь у вас:

• Работающий интернет
• Защищённый Wi-Fi
• Локальная сеть через bridge
• Базовая, но надёжная защита от внешних атак

Дальнейшие настройки (QoS, родительский контроль, VLAN и т.д.) — уже на ваш вкус. Но с этой базой вы в безопасности.