(пример реальной конфигурации)
Введение
Здесь приведён результат рабочего конфига MikroTik который получился в результате вынужденного перехода DD-WRT. Настройка роутера разбита на логические этапы. Последовательность приближена к реальной процедуре конфигурирования устройства.
Firewall вынесен в конец, так как обычно дорабатывается в процессе эксплуатации.
Данная заметка является практической реализаций Истории умирающего роутера
1. Базовые настройки системы
- Код: выделить все
/system identity
set name=gete.free-adm.ru
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
Настройка имени устройства и часового пояса.
- Код: выделить все
/system ntp client
set enabled=yes
/system ntp client servers
add address=95.211.123.72
add address=212.1.224.6
add address=212.1.244.6
add address=195.0.1.3
/system ntp server
set enabled=yes multicast=yes
Синхронизация времени + возможность раздачи NTP внутри сети.
2. Настройка интерфейсов
- Код: выделить все
/interface ethernet
set ether1 comment=wan mac-address=84:1B:5E:7A:9D:CF
set ether2 comment="WS For Admin"
set ether5 comment=Printer
Назначение ролей портам.
3. LAN (Bridge)
- Код: выделить все
/interface bridge
add name=bridge1 comment="For LAN" auto-mac=no admin-mac=18:FD:74:7E:75:6B
- Код: выделить все
/interface bridge port
add bridge=bridge1 interface=ether2 comment="WS For Admin"
add bridge=bridge1 interface=ether5 comment=Printer
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
Bridge объединяет LAN-порты в одну сеть.
4. Wi-Fi настройка
- Код: выделить все
/interface wireless
set wlan1 mode=ap-bridge ssid=BR0-2GHz country=russia4 comment="2.4 GHz"
set wlan2 mode=ap-bridge ssid=BR0-5GHz band=5ghz-a/n/ac
channel-width=20/40mhz-eC country=russia4 wps-mode=disabled comment="5 GHz"
- Код: выделить все
/interface bridge port
add bridge=bridge1 interface=wlan1 comment="2.4 GHz"
add bridge=bridge1 interface=wlan2 comment=5GHz
- Код: выделить все
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys
- Код: выделить все
/interface wireless access-list
add interface=wlan2 mac-address=9E:D2:69:A0:8F:44
Точки доступа работают в режиме bridge и входят в LAN.
5. Группы интерфейсов
- Код: выделить все
/interface list
add name=WAN_IF comment="Interface wan"
add name=LAN_IF comment="Interfaces lan"
/interface list member
add interface=ether1 list=WAN_IF
add interface=bridge1 list=LAN_IF
Используются в firewall (очень удобно).
6. Интернет (WAN)
- Код: выделить все
/ip dhcp-client
add interface=ether1 comment="dhcp isp" use-peer-dns=no use-peer-ntp=no
Получение IP от провайдера.
7. Адресация LAN
- Код: выделить все
/ip address
add address=195.0.1.254/24 interface=bridge1 comment="ip on bridge"
Шлюз локальной сети.
8. DHCP сервер
- Код: выделить все
/ip pool
add name=LanPool ranges=195.0.1.200-195.0.1.250
- Код: выделить все
/ip dhcp-server
add name=dhcp1 interface=bridge1 address-pool=LanPool lease-time=3h
- Код: выделить все
/ip dhcp-server network
add address=195.0.1.0/24
gateway=195.0.1.254
dns-server=195.0.1.254
ntp-server=195.0.1.254
domain=free-adm.ru
boot-file-name=bios/ipxe.kpxe
next-server=195.0.1.254
Полноценная раздача сети + PXE.
9. DNS (локальный + DoH)
- Код: выделить все
/ip dns
set allow-remote-requests=yes
servers=45.90.30.0,45.90.28.0
use-doh-server=[https://dns.nextdns.io/4a59c7](https://dns.nextdns.io/4a59c7)
verify-doh-cert=yes
Роутер выступает DNS-сервером для клиентов.
- Код: выделить все
/ip dns static
add address=195.0.1.3 name=free-adm.ru
add address=195.0.1.3 comment="apex A" name=free-adm.ru type=A
add address=2000:2cc0:13b1:3333::3 comment="apex AAAA" name=free-adm.ru type=AAAA
add address=195.0.1.254 comment="gateway DNS" name=ns1.free-adm.ru type=A
add address=2000:2cc0:13b1:3333::254 comment="gateway DNS v6" name=ns1.free-adm.ru type=AAAA
add address=195.0.1.254 comment=gateway name=gate.free-adm.ru type=A
add address=2000:2cc0:13b1:3333::254 name=gate.free-adm.ru type=AAAA
...
Имитация локальной DNS-зоны для внутренних узлов.
10. SMB (шары на роутере)
- Код: выделить все
/ip smb users
add name=serg
/ip smb
set enabled=yes interfaces=bridge1 domain=ENG
/ip smb shares
add name=samba directory=/usb1 valid-users=serg require-encryption=yes
Простейший файловый сервер.
11. WireGuard (IPv6 туннель)
- Код: выделить все
/interface wireguard
add name=wg-ipv6 listen-port=13830 mtu=1412 comment="route64 IPv6 over WG"
- Код: выделить все
/interface wireguard peers
add interface=wg-ipv6
endpoint-address=118.91.187.67 endpoint-port=20041
allowed-address=::/1,8000::/1
persistent-keepalive=15s
public-key="3e+8LPOzT95lP0QemIIbkyygAapiHLDSarrENorGpmQ="
IPv6 через внешний туннель.
12. IPv6 адреса и маршруты
- Код: выделить все
/ipv6 address
add address=fe80::1 interface=bridge1
add address=2000:2cc0:f04:189::2 interface=wg-ipv6
add address=2000:2cc0:13b1:3333::254 interface=bridge1
- Код: выделить все
/ipv6 route
add dst-address=2000:2cc0:f04:189::2/128 gateway=wg-ipv6
add dst-address=::/0 gateway=wg-ipv6
- Код: выделить все
/ipv6 nd
set [ find default=yes ] interface=bridge1 mtu=1412 advertise-dns=yes
Раздача IPv6 клиентам.
13. Доступ к роутеру
- Код: выделить все
/ip service
set ssh address=195.0.1.0/24,2000:2cc0:13b1:3333::/64
set winbox address=195.0.1.0/24,2000:2cc0:13b1:3333::/64
set telnet address=195.0.1.0/24
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
Ограничение доступа только из LAN.
14. Системные настройки
- Код: выделить все
/tool mac-server
set allowed-interface-list=LAN_IF
/tool mac-server mac-winbox
set allowed-interface-list=LAN_IF
/system logging
add topics=wireless,debug
15. ЭТАЛОННЫЙ FIREWALL
Address-list IPv4
- Код: выделить все
/ip firewall address-list
add list=LAN_NET address=195.0.1.0/24 comment="LAN"
add list=ADMIN address=195.0.1.3 comment="Admin host"
add list=SRV_MAIN address=195.0.1.3 comment="Main server"
Address-list IPv6
- Код: выделить все
/ipv6 firewall address-list
add list=LAN_NET address=2000:2cc0:13b1:3333::/64
add list=ADMIN address=2000:2cc0:13b1:3333::3
add list=SRV_MAIN address=2000:2cc0:13b1:3333::3
INPUT (доступ к роутеру)
- Код: выделить все
/ip firewall filter
### 1. Established / Related
add chain=input action=accept connection-state=established,related comment="INPUT: EST/REL"
### 2. Invalid
add chain=input action=drop connection-state=invalid comment="INPUT: DROP invalid"
### 3. LAN → Router (полный доступ)
add chain=input action=accept in-interface-list=LAN_IF comment="INPUT: LAN full access"
### 4. Admin доступ с WAN (ограниченный)
add chain=input action=accept protocol=tcp dst-port=22,8291 src-address-list=ADMIN in-interface-list=WAN_IF comment="INPUT: admin from WAN"
### 5. ICMP (ограниченный)
add chain=input action=accept protocol=icmp comment="INPUT: ICMP allow"
### 6. Остальное с WAN — DROP
add chain=input action=drop in-interface-list=WAN_IF comment="INPUT: DROP WAN"
FORWARD (трафик через роутер)
- Код: выделить все
### 1. Established / Related
add chain=forward action=accept connection-state=established,related comment="FWD: EST/REL"
### 2. Invalid
add chain=forward action=drop connection-state=invalid comment="FWD: DROP invalid"
### 3. LAN → WAN (основное правило)
add chain=forward action=accept in-interface-list=LAN_IF out-interface-list=WAN_IF comment="FWD: LAN → WAN"
### 4. Публикация сервера (DNAT уже есть)
add chain=forward action=accept in-interface-list=WAN_IF dst-address-list=SRV_MAIN comment="FWD: WAN → SRV"
### 5. (опционально) ICMP транзит
add chain=forward action=accept protocol=icmp comment="FWD: ICMP"
### 6. Всё остальное — DROP
add chain=forward action=drop comment="FWD: DROP all"
NAT
- Код: выделить все
/ip firewall nat
### Masquerade
add chain=srcnat action=masquerade out-interface-list=WAN_IF src-address-list=LAN_NET
### DNAT -> сервер
add chain=dstnat action=dst-nat in-interface-list=WAN_IF protocol=tcp dst-port=80,443 to-addresses=195.0.1.3
add chain=dstnat action=dst-nat in-interface-list=WAN_IF protocol=udp dst-port=4662-4665,4672,8999,41641 to-addresses=195.0.1.3
