Давно подумував спробувати MikroTik, але все якось було ліньки розбиратись з RouterOS.
Нарешті, на хвилі зборки Home NAS проекту (див. початок в FreeBSD: Home NAS, part 1 – налаштування ZFS mirror) таки вирішив, що пора оновити і мережевий стек і замінити простенький TP-Link Archer на щось більш серйозне.
Так в мене з’явились два роутери MikroTik: RB4011iGS+RM – основний роутер, і MikroTik hAP ax3 – для WiFi.
До цього в мене були Linksys E4200 (2012-2020), потім з’явився Linksys EA6350 (2020-2024), і останнім був TP-Link Archer AX12 (2024-2025), і коли я перший раз відкрив MikroTik Web UI і подивився можливості… Це як пересісти з Запорожця на Мерседес.
Ну і нарешті – повноцінна консоль і SSH з коробки, а не через кастомні прошивки.
Можливостей в RouterOS дуже багато, тому одним постом по цій темі не обійтись, і в чернетках вже є кілька матеріалів, а почнемо з першого знайомства і початку роботи.
Зміст
Архітектура моєї мережі
Перш ніж говорити про сам роутер – трохи про мій networking і ролі роутерів MikroTik.
Є дві мережі – “офіс” та дом, в обох “на вході” були TP-Link Archer AX12.
В “офісі” (в лапках, бо це просто сусідня квартира) стоїть ThnikCenter з FreeBSD/NAS, плюс робочий ноутбук і ігровий ПК. В основному всі девайси підключені до роутера кабелями, WiFi тільки для телефону і всяких EcoFlow, робота-пилососа тощо.
Вдома – пара ноутбуків, там вся мережа виключно WiFi.
Обидві мережі об’єднані з VPN, і по старій схемі TP-Link Archer в офісі мав port forwading до WireGuard на FreeBSD, а на FreeBSD були власне WireGuard як хаб та Unbound для локального DNS, плюс всякі Samba/NFS/etc.
Тепер жеж в офісі схема буде іншою:
- MikroTik RB4011iGS:
- на нього заходить кабель провайдера (оптика через ONU і далі по квартирі з Ethernet на роутер RB4011)
- на ньому пізніше буде друге підключення ще одного LTE-роутера з SIM та мобільним інтернетом і автоматичним failover (див. старий пост Networking: коли немає світла – модем 4G ZTE + зовнішня антена: антена та сама, тільки роутер буде Teltonika RUT241)
- WireGuard тепер буде тут
- локальний DNS теж тепер буде тут
- до RB4011iGS кабелями підключені ThinkCentre/NAS, робочий ноутбук та ігровий ПК
- MikroTik hAP ax3: підключений кабелем до RB4011, пізніше переключу його в режим Access Point, поки стандартний WiFi роутер з власним NAT
- TP-Link Archer AX12: підключений кабелем до RB4011, на ньому нічого не міняю, бо ліньки перепідключати різні домашні девайси типу дверного дзвоника, пожежної сигналізації, EcoFlow, etc
В домашній мережі не міняється нічого окрім налаштувань WireGuard на домашньому ноуті: раніше він через port-forwarding на офісному роутері підключався до FreeBSD, тепер буде ходити до RB4011.
І окремо – сервер самого rtfm.co.ua в DigitalOcean, який (буде) теж підключений з WireGuard до цієї мережі.
Загальна схема буде виглядати приблизно так:
Перше підключення до MikroTik
Боже, який це кайф – мати повноцінний SSH! Але про SSH трохи далі тут і потім ще окремим постом.
Взагалі MikroTik предоставляє кілька варіантів підключення:
- стандартний Web UI
- утиліта WinBox (дуже прикольна штука)
- SSH
- офіційна мобільна апка
- Serial port
Дефолтний юзер всюди admin. Паролі для MikroTik hAP ax3 зробили на висувному вкладиші (дуже прикольно):
А для RB4011 на паперовому Quick Guide.
Дефолтна мережа 192.168.88.0/24, адреса роутера, відповідно – 192.168.88.1.
WAN-порт на обох роутерах – перший, в нього втикаємо кабель провайдера, а ноутбук/ПК – в будь-який інший.
Для підключення до MikroTik hAP ax3 замість кабеля можна використати його дефолтну WiFi-мережу – теж дасть доступ до управління.
Web UI overview
Інтерфейс стандартний на обох роутерах – на RB4011 навіть є розділ “WiFi”, хоча в нього тільки Ethernet-порти.
Тут і далі в основному буду писати про RB4011, тому скріншоти будуть з нього.
Web має три “режими” – простий для Quick Setup:
Advanced – тут вже доступ до всіх можливостей:
І можна запустити Terminal прямо з Web:
В Design Skin можна вибрати які саме пункти меню будуть відображатись:
WinBox
При запуску утиліта сама сканує мережу і знаходить доступні для підключення девайси MikroTik:
При цьому підключитись можна як по IP, так і по MAC-адресі – на випадок, якщо зламали мережу.
А сам інтерфейс в принципі такий самий, як і в Web – стандартний для RouterOS:
І навіть є темна тема:
SSH
Тут все стандартно – просто з ноутбука/ПК виконуємо “ssh 192.168.88.1” (в мене вже переналаштований DHCP, тому адреса 192.168.0.1):
Можна використовувати ключі замість паролів, потім подивимось як.
Mobile client
І мобільна апка – підключаємось по IP:
Робота в консолі RouterOS
Вебом користуюсь мало, і тут і далі всі налаштування будуть з SSH.
Документація – Command Line Interface та Console.
Дуже цікава можливість Safe Mode: відкотить зміни, якщо зламали доступ і підключення розірвалось без коректного збереження налаштувань.
В RouteOS є повноцінна консоль, яка складається з ієрархічного дерева команд.
Наприклад, якщо в Web пункт меню IP => Firewall:
То в консолі це буде /ip firewall.
Є повноцінне автодоповнення по Tab:
Після переходу в меню можна з F1 подивитись доступні команди:
В документації говориться, що “?” має виводити підказку теж – але на 7+ версії це вже не працює (Reddit).
Замість “?” просто вибираємо команду, а потім F1 або Tab:
Getting started: перші налаштування
У MikroTik дуже класна документація (привіт, Confluence), і є власний розділ Getting started.
Пройдусь по основним речам, які робив на початку роботи.
Деякі скріни старі, тому ім’я хоста там буде “MikroTik” – дефолтне, далі глянемо, як це міняється.
IP теж може бути старий, дефолтний – 192.168.88.1. зараз він 192.168.0.1. Про налаштування DHCP – в наступному пості.
Backup та restore
У MirkoTik є два варіанти створення бекапу – з /export та /system backup.
/export створить текстовий файл з історією команд який можна прочитати – а /system backup створює бінарний файл, який включає в себе все, в тому числі ключі і сертифікати.
Але якщо конфіг переноситься на інший роутер – то system backup може сфейлитись, бо містить в собі прив’язку до конкретного девайсу, а результат з export – просто виконає команди.
/export та /import
Робимо /export в файл:
[setevoy@mikrotik-rb4011-gw] > /export file=init-backup
Тепер він є в Files:
І його можна прочитати.
З scp копіюємо собі на ноут:
[setevoy@setevoy-work ~] $ scp [email protected]:/init-backup.rsc . [email protected]'s password: init-backup.rsc
І читаємо:
[setevoy@setevoy-work ~] $ cat init-backup.rsc # 2026-01-22 15:21:51 by RouterOS 7.21 # software id = BUXG-TCU3 # # model = RB4011iGS+ # serial number = HK50AXX5M2Y /interface bridge add admin-mac=04:F4:1C:89:8B:B3 auto-mac=no comment=defconf name=bridge /interface wireguard add listen-port=51820 mtu=1420 name=wg0 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 add name=vpn ranges=192.168.89.2-192.168.89.255 add name=dhcp_pool_lan ranges=192.168.0.50-192.168.0.200 ...
Застосувати файл для відновлення параметрів:
/import file-name=init-backup.rsc
Система просто прочитає всі команди по черзі і виконає їх.
При цьому поточні налаштування не зміняться – якщо не відрізняють від того, що в файлі експорту, але можуть виникати дублі.
Експорт/імпорт не відновить:
- паролі
- сертифікати і приватні ключі
- ліцензію
- secrets (IPsec, WireGuard private keys)
- деякі параметри
/system
/system backup save та load
Для створення повного бекапу:
/system backup save name=before-change
Для відновлення:
/system backup load name=before-change
При цьому будуть видалені всі поточні налаштування – і відтворені з бекапу.
User management
Рекомендується створити власного юзера з root-правами, і відключити(але не видаляти) дефолтного admin.
Документація – User.
Першим ділом міняємо пароль admin:
[admin@mikrotik-rb4011-gw] > /user set admin password=PASSWORD
Прикольно, що після виконання строка з паролем відразу зникає з консолі.
Вивести всіх юзерів :
/user print
Активні сесії:
/user active print
Створюємо юзера, і задамо ліміт на адреси, з яких буде доступ (хоча ремоут SSH по дефолту і так недоступний на фаєрволі, про нього згодом):
/user add name=setevoy group=full password=PASSWORD address=192.168.0.0/24,192.168.88.0/24
Перевіряємо – або для всіх з /user print detail, або конкретного з where:
/user print detail where name="setevoy"
Змінити пароль або інші атрибути:
/user set [find name="setevoy"] password=NEW_PASSWORD
Або по ID – знаходимо ID з /user print:
І використовуємо його для /user set:
/user set 1 password=NEW_PASSWORD
Підключаємось під новим юзером:
[setevoy@setevoy-work ~] $ ssh 192.168.0.1 ... [email protected]'s password: ... [setevoy@mikrotik-rb4011-gw] >
Апгрейд роутера
Бекапимось 🙂
Хоча завжди можна резетнути до заводських налаштувань, але краще завести звичку створити бекап.
Апгрейд включає в себе два окремих процеси – оновлення RouterOS та апдейти для firmware.
RouterOS upgrade
Документація – Upgrading and installation.
Перевіряємо поточну версію системи:
/system package print
Результат:
Columns: NAME, VERSION, BUILD-TIME, SIZE # NAME VERSION BUILD-TIME SIZE 0 routeros 7.18.2 2025-03-11 11:59:04 11.5MiB
Перевіряємо наявність апдейтів:
/system package update check-for-updates
Результат:
[setevoy@MikroTik] > /system package update check-for-updates
channel: stable
installed-version: 7.18.2
latest-version: 7.21
status: New version is available
Завантажуємо – це тільки загрузка:
/system package update download
Результат:
[setevoy@MikroTik] > /system package update download
channel: stable
installed-version: 7.18.2
latest-version: 7.21
status: Downloaded, please reboot router to upgrade it
І запускаємо вже сам процес апгрейду:
/system package update install
Система піде в ребут:
[setevoy@MikroTik] > /system package update install
channel: stable
installed-version: 7.18.2
latest-version: 7.21
status: calculating download size...
Received disconnect from 192.168.88.1 port 22:11: shutdown/reboot
Disconnected from 192.168.88.1 port 22
RouterBOARD (firmware) upgrade
Документація – RouterBOARD.
Перевіряємо поточну версію:
/system routerboard print
В мене це виглядало так:
[setevoy@MikroTik] > /system routerboard print
routerboard: yes
model: RB4011iGS+
revision: r2
serial-number: HK50AXX5M2Y
firmware-type: al2
factory-firmware: 7.18.2
current-firmware: 7.18.2
upgrade-firmware: 7.21
Встановлена 7.18.2, є апгрейд до 7.21.
Запускаємо апгрейд:
/system routerboard upgrade
Результат:
[setevoy@MikroTik] > /system routerboard upgrade Do you really want to upgrade firmware? [y/n] y [setevoy@MikroTik] > 14:13:58 echo: system,info,critical Firmware upgraded successfully, please reboot for changes to take effect!
Ребутаємо роутер:
[setevoy@MikroTik] > /system reboot Reboot, yes? [y/N]: y system will reboot shortly Connection to 192.168.88.1 closed.
Перевіряємо ще раз:
[setevoy@MikroTik] > /system routerboard print
routerboard: yes
model: RB4011iGS+
revision: r2
serial-number: HK50AXX5M2Y
firmware-type: al2
factory-firmware: 7.18.2
current-firmware: 7.21
upgrade-firmware: 7.21
System management: основні команди
Корисні команди для роботи з системою.
Вивести події з логу:
/log print
Або з фільтром:
/log print where topics~"error|warning"
Вивести стан системи, версію, аптайм:
/system resource print
Коректно вимкнути систему:
/system shutdown
Перевірка живлення, температури:
/system health print
Навантаження CPU:
/tool profile
Cтан інтерфейсів коротко:
/interface print
Або детально:
/interface print detail
Адреси:
/ip address print
Роути:
/ip route print
Distance тут – пріорітет: можна мати друге інтернет-підключення (як я планую – на ethernet port 2 підключити LTE-роутер з SIM-картою), задати йому Distance == 2, і тоді трафік буде йти через перший порт – якщо він доступний, а якщо ні – то через другий.
Інформація по DNS:
/ip dns print
Виконати ping на якийсь хост:
/ping 8.8.8.8 src-address=192.168.0.1
Або traceroute (динамічний, як mtr на Linux/FreeBSD):
/tool traceroute 8.8.8.8
Коректно перезавантажити або виключити:
/system reboot /system shutdown
Задати ім’я хоста:
/system identity set name=mikrotik-rb4011-gw
Власне, на цьому для початку все.
Що далі? Next steps
Про що ще думаю писати – частина вже є в чернетках, частину буду (якщо буде час) писати з нуля:
- налаштування DHCP
- налаштування DNS
- SSH і firewall – юзери, аутентифікація по ключам, правила фаєрволу
- налаштування WireGuard для підключення Peers
- scripts, alerting, monitoring – дуже класна можливість писати скрипти, які можуть слати алерти, див. Scripting
- резервний канал інтернету через LTE-роутер
- WiFi tuning
