Перейти к содержимому
MITPro
IT-аутсорсинг
Все статьи
Инфраструктура

Настройка Mikrotik для офиса: пошаговое руководство

MITPro23 декабря 2024 г.15 мин

Mikrotik RouterOS — это мощная операционная система для маршрутизаторов, которая используется в корпоративных сетях по всему миру. Она позволяет создавать сложные сетевые конфигурации: интернет-шлюзы, точки доступа Wi-Fi, VPN-серверы, файрволы.

В этом руководстве разберём пошаговую настройку Mikrotik роутера для офиса: подключение интернета, настройка Wi-Fi, создание локальной сети, настройка безопасности и VPN.

Что такое Mikrotik и зачем он нужен

Mikrotik — это белорусская компания, которая производит сетевое оборудование и программное обеспечение RouterOS. Главное преимущество Mikrotik — соотношение цена/функциональность: за доступную цену вы получаете возможности корпоративного уровня.

Основные возможности Mikrotik RouterOS:

  • Маршрутизация и шлюз в интернет
  • Точка доступа Wi-Fi (802.11ac, 802.11ax)
  • VPN-сервер (PPTP, L2TP, SSTP, OpenVPN, WireGuard)
  • Файрвол и фильтрация трафика
  • DHCP-сервер для автоматической раздачи IP
  • DNS-сервер и кэширование
  • Мониторинг трафика и ограничение скорости
  • Гостевая сеть с авторизацией
  • Бесшовный роуминг между точками доступа (CAPsMAN)

Подготовка к настройке

Необходимое оборудование

Что нужно для настройки:

  • Роутер Mikrotik (например, hEX, hAP ac², RB4011)
  • Компьютер с Windows/Mac/Linux
  • Кабель Ethernet для подключения
  • Доступ к веб-интерфейсу Winbox или SSH

Первичное подключение

По умолчанию Mikrotik имеет IP-адрес 192.168.88.1 на порту ether1. Подключите компьютер к этому порту и установите IP-адрес в той же подсети (например, 192.168.88.2).

Способы подключения:

  • Winbox (Windows-приложение) — самый удобный способ
  • Веб-интерфейс (https://192.168.88.1)
  • SSH/Telnet — для опытных пользователей
  • Console (через кабель) — для начальной настройки

Рекомендуем использовать Winbox — это официальное приложение от Mikrotik с удобным графическим интерфейсом. Скачать можно с сайта mikrotik.com.

Шаг 1: Базовая настройка интернета

Настройка WAN-подключения

WAN (Wide Area Network) — это порт, через который роутер подключается к интернету. Обычно это ether1 или порт с кабелем от провайдера.

Для статического IP от провайдера:

  • IP → Addresses: добавьте IP-адрес на ether1 (например, 192.168.1.100/24)
  • IP → Routes: добавьте default route (0.0.0.0/0) через шлюз провайдера
  • IP → DNS: укажите DNS-серверы (8.8.8.8, 1.1.1.1 или от провайдера)

Для динамического IP (DHCP от провайдера):

  • IP → DHCP Client: создайте клиента на интерфейсе ether1
  • Автоматически получите IP, шлюз и DNS

Настройка локальной сети (LAN)

LAN (Local Area Network) — внутренняя сеть офиса. Обычно это другой порт роутера (например, ether2-ether5) или отдельный интерфейс.

Настройка LAN:

  • IP → Addresses: добавьте IP-адрес на LAN-интерфейс (например, 192.168.1.1/24)
  • Эта адресация будет использоваться для локальных устройств

Важно: используйте разные подсети для WAN и LAN. Например, WAN — 192.168.1.0/24, LAN — 192.168.88.0/24 или 10.0.0.0/24.

Шаг 2: Настройка DHCP-сервера

DHCP автоматически раздаёт IP-адреса устройствам в локальной сети. Это избавляет от необходимости настраивать IP вручную на каждом компьютере.

Настройка DHCP:

  • IP → DHCP Server → Networks: добавьте сеть (например, 192.168.88.0/24)
  • IP → DHCP Server → Leases: настройте пул адресов (например, 192.168.88.100-192.168.88.200)
  • Укажите шлюз (gateway) — IP-адрес роутера в LAN
  • Укажите DNS-серверы
  • Включите DHCP Server на LAN-интерфейсе

Шаг 3: Настройка NAT (маскарадинг)

NAT позволяет устройствам в локальной сети выходить в интернет через один внешний IP-адрес. Без NAT интернет работать не будет.

Настройка NAT:

  • IP → Firewall → NAT: добавьте правило masquerade
  • Chain: srcnat
  • Out. Interface: выберите WAN-интерфейс (ether1)
  • Action: masquerade

После настройки NAT устройства в локальной сети смогут выходить в интернет. Проверьте, открыв браузер на компьютере.

Шаг 4: Настройка Wi-Fi

Базовая настройка беспроводной сети

Если у вашего Mikrotik есть встроенный Wi-Fi модуль (например, hAP ac²), можно настроить точку доступа.

Настройка Wi-Fi:

  • Wireless → Interfaces: найдите интерфейс wlan1 (или wlan2)
  • Установите Mode: ap-bridge
  • SSID: укажите название сети (например, "Office-WiFi")
  • Security Profile: создайте профиль безопасности
  • WPA2/WPA3: выберите шифрование
  • Password: укажите пароль для Wi-Fi

Расширенные настройки Wi-Fi

Для лучшей производительности:

  • Частота и канал: выберите менее загруженный канал (используйте Wi-Fi-анализатор)
  • Ширина канала: 20/40/80 MHz в зависимости от модели
  • Мощность передачи: не ставьте максимальную, достаточно 20-25 dBm
  • Гостевой доступ: создайте отдельную VLAN для гостевой сети

Шаг 5: Настройка файрвола

Файрвол защищает сеть от несанкционированного доступа. Важно настроить базовые правила безопасности.

Базовые правила файрвола

Рекомендуемые правила:

  • Разрешить установленные соединения (established, related)
  • Разрешить выход в интернет из локальной сети
  • Заблокировать входящие соединения из интернета (кроме необходимых)
  • Разрешить ping для диагностики (опционально)

Без правильной настройки файрвола ваша сеть будет уязвима для атак из интернета. Обязательно блокируйте входящие соединения, если они не нужны.

Пример базового файрвола

IP → Firewall → Filter Rules:

  • Правило 1: chain=input, connection-state=established,related → action=accept
  • Правило 2: chain=input, in.interface=LAN → action=accept
  • Правило 3: chain=input → action=drop (блокировать всё остальное)
  • Правило 4: chain=forward, connection-state=established,related → action=accept
  • Правило 5: chain=forward, in.interface=LAN, out.interface=WAN → action=accept
  • Правило 6: chain=forward → action=drop

Шаг 6: Настройка VPN (опционально)

VPN позволяет сотрудникам безопасно подключаться к офисной сети из дома или в командировке.

Настройка SSTP VPN

SSTP (Secure Socket Tunneling Protocol) — встроенный VPN в Windows:

  • PPP → Secrets: создайте пользователя для VPN
  • PPP → Profiles: создайте профиль с local-address (IP роутера) и remote-address (пул IP для клиентов)
  • PPP → Interface → SSTP Server: включите сервер
  • IP → Firewall → NAT: разрешите forwarding для VPN-подключений
  • IP → Firewall → Filter: разрешите подключения на порт 443 (SSTP)

Настройка WireGuard VPN

WireGuard — современный и быстрый VPN-протокол. Для его использования нужна лицензия уровня 5 или выше.

Базовая настройка WireGuard:

  • Interface → WireGuard: создайте интерфейс
  • Сгенерируйте ключи (private key, public key)
  • Peers: добавьте клиентов с их public key
  • IP → Addresses: назначьте IP-адрес интерфейсу WireGuard
  • IP → Firewall: разрешите трафик через WireGuard

Шаг 7: Дополнительные настройки

Ограничение скорости (Bandwidth Management)

Mikrotik позволяет ограничивать скорость для отдельных пользователей или устройств. Это полезно, если нужно гарантировать минимальную скорость для важных сервисов.

Настройка Queue:

  • Queues → Simple Queues: создайте очередь
  • Target: укажите IP-адрес или диапазон
  • Max Limit: максимальная скорость (например, 10M/10M)
  • Priority: приоритет трафика

Мониторинг трафика

Mikrotik позволяет отслеживать, сколько трафика потребляет каждое устройство.

Полезные инструменты:

  • Tools → Traffic Monitor: просмотр трафика в реальном времени
  • IP → Accounting: учёт трафика по IP-адресам
  • Interface → Traffic: статистика по интерфейсам

Гостевая сеть Wi-Fi

Для гостей можно создать отдельную Wi-Fi-сеть с ограниченным доступом (только интернет, без доступа к локальной сети).

Настройка гостевой сети:

  • Wireless → Security Profiles: создайте отдельный профиль для гостей
  • Wireless → Interfaces: создайте виртуальный интерфейс wlan1-guest
  • VLAN: создайте отдельную VLAN для гостевой сети
  • IP → Firewall: заблокируйте доступ к локальной сети из гостевой VLAN

Типичные проблемы и решения

Нет интернета после настройки

Проверьте:

  • Правильно ли настроен NAT (masquerade)
  • Есть ли default route через WAN-интерфейс
  • Работает ли DNS (попробуйте ping 8.8.8.8)
  • Не блокирует ли файрвол трафик

Wi-Fi работает медленно

Возможные причины:

  • Перегруженный канал — используйте анализатор Wi-Fi
  • Слишком много устройств на одной точке доступа
  • Неправильная ширина канала (используйте 20 MHz если много помех)
  • Старая версия RouterOS — обновите прошивку

Устройства не получают IP-адрес

Проверьте DHCP:

  • Включен ли DHCP Server на правильном интерфейсе
  • Хватает ли адресов в пуле
  • Не конфликтует ли IP-адрес роутера с пулом
  • Проверьте логи: Log → System

Безопасность и рекомендации

Обновление RouterOS

Регулярно обновляйте RouterOS для получения исправлений безопасности. Новые версии выходят регулярно.

Как обновить:

  • System → Packages: проверьте доступные обновления
  • System → RouterBOARD → Upgrade: обновление прошивки
  • Или скачайте с сайта mikrotik.com и загрузите через Winbox

Смена пароля по умолчанию

Обязательно смените пароль администратора. По умолчанию пароль пустой, что небезопасно.

System → Users: измените пароль пользователя admin

    Резервное копирование конфигурации

    Сохраняйте резервную копию конфигурации перед любыми изменениями. Это позволит быстро восстановить рабочую настройку при ошибке.

    Files → Backup: создайте backup файл

      Резюме

      Настройка Mikrotik для офиса включает несколько этапов: базовую настройку интернета и локальной сети, настройку DHCP, NAT, Wi-Fi, файрвола и опционально VPN. При правильной настройке Mikrotik обеспечит стабильную работу сети, безопасность и возможность удалённого доступа.

      Важно помнить о безопасности: обновляйте RouterOS, меняйте пароли, настраивайте файрвол, делайте резервные копии. Для сложных конфигураций (несколько офисов, бесшовный Wi-Fi, продвинутый VPN) лучше обратиться к специалистам.

      Мы в MITPro помогаем компаниям настраивать сетевую инфраструктуру на базе Mikrotik: от базовой настройки до сложных решений с несколькими офисами и бесшовным Wi-Fi. Если нужна помощь с настройкой или оптимизацией — закажите бесплатную консультацию.

      MikrotikСетиWi-FiРуководство

      Нужна помощь с IT?

      Закажите бесплатную консультацию. Разберём вашу ситуацию и предложим решение.

      Читайте также

      Терминальный сервер RDP: что это и как настроить для бизнеса

      Терминальный сервер — это решение для удалённой работы сотрудников. Разбираем, что такое RDP, как настроить терминальный сервер на Windows Server, какие есть преимущества и требования.

      Резервное копирование 3-2-1: правило для надёжной защиты данных

      Правило 3-2-1 — золотой стандарт резервного копирования. Разбираем, как правильно организовать бэкапы: 3 копии, 2 носителя, 1 копия вне офиса.

      Бесплатная консультация

      Готовы к стабильной ИТ-инфраструктуре?

      Получите бесплатный технический аудит и персональный план развития вашей ИТ-среды в течение 24 часов

      Бесплатный аудит
      Ответ за 24 часа
      Без обязательств