Начало


Первичная настройка MikroTik RouterOS

Первичная настройка

Перед началом

Что вам понадобится
Ключевые понятия

Стандартная конфигурация: Предварительно загруженные настройки, которые могут не подходить под ваши нужды

Мост (Bridge): Виртуальный интерфейс, который соединяет несколько физических портов

DHCP: Автоматическое присвоение IP-адресов устройствам

NAT: Трансляция сетевых адресов — позволяет нескольким устройствам использовать одно интернет-соединение

Брандмауэр: Правила безопасности, контролирующие сетевой трафик

Выберите метод настройки

В этом руководстве показаны оба метода: WinBox (графический) и CLI (текстовый).

Новички: Следуйте инструкциям WinBox

Продвинутые пользователи: Используйте команды CLI (представлены в блоках кода)

Обзор быстрого старта

Это руководство поможет вам шаг за шагом настроить ваш MikroTik роутер:

Каждый шаг строится на предыдущем. Выполняйте их по порядку для достижения наилучших результатов.

Совет: сохраняйте прогресс

После каждого крупного раздела делайте резервную копию вашей конфигурации:

CLI метод:

/export file=backup-step3

WinBox метод:

Если что-то пойдёт не так, вы сможете восстановить конфигурацию: Файлы → Выберите файл резервной копии → Restore...

Подключение к роутеру

Большинство MikroTik роутеров поставляются с предустановленной конфигурацией, и вы можете использовать этот раздел для подключения к ним. Исключение — профессиональные устройства серии CCR, для них используйте следующий раздел.

Шаг 1: Физическое подключение

Шаг 2: Загрузка WinBox

Если у вас нет WinBox:

Шаг 3: Поиск роутера с помощью обнаружения соседей (Neighbor Discovery)

Шаг 4: Понимание стандартной конфигурации

При первом подключении может появиться всплывающее окно о стандартной конфигурации:

Удаление стандартной конфигурации уберет все правила безопасности. Делать это должны только опытные пользователи.

Роутер без стандартной конфигурации (только для продвинутых пользователей)

Если роутер не имеет стандартной конфигурации, есть несколько вариантов. Мы выберем метод, который лучше всего подходит для наших требований. Подключите интернет-кабель к порту ether1 роутера и ПК к любому порту, кроме ether1. Запустите WinBox и найдите роутер через обнаружение соседей. Если роутер появится в списке, выберите его MAC-адрес и нажмите Connect.

Самый простой способ убедиться, что роутер чист, — выполнить в CLI команду:

/system reset-configuration no-defaults=yes skip-backup=yes

Или из WinBox:

1.png

Настройка IP доступа

Поскольку MAC-соединение иногда бывает нестабильным, первым делом настройте роутер для IP-соединения:

Настройка моста и IP-адреса — простая процедура:

/interface bridge add name=bridge1
/interface bridge port add interface=ether2 bridge=bridge1
/ip address add address=192.168.88.1/24 interface=bridge1

Если вы предпочитаете использовать WinBox/WebFig:

add_bridge.png

add_bridge_port.png

ip_addr_add.png

Далее перейдите к настройке DHCP сервера. Для простоты выполните команду setup:

[admin@MikroTik] > ip dhcp-server setup
Select interface to run DHCP server on dhcp server interface: bridge1
Select network for DHCP addresses dhcp address space: 192.168.88.0/24
Select gateway for given network gateway for dhcp network: 192.168.88.1
Select pool of ip addresses given out by DHCP server addresses to give out: 192.168.88.2-192.168.88.254
Select DNS servers dns servers: 192.168.88.1
Select lease time lease time: 1800

Обратите внимание: большинство параметров определяется автоматически, просто нажимайте Enter.

Инструмент настройки также доступен в WinBox/WebFig:

dhcp_setup.png

После этого, подключенный ПК должен получить динамический IP-адрес. Можно закрыть WinBox и переподключиться к роутеру по IP-адресу 192.168.88.1.

Настройка подключения к Интернету

Для выхода в Интернет необходимо определить, какой тип подключения вам нужен:

Если не уверены, выбирайте DHCP — он подходит примерно для 80% домашних подключений.

Опция A: DHCP (самая распространённая)

Это самый простой и популярный способ настройки в домашних сетях. Добавьте DHCP-клиента на интерфейс, подключённый к интернету:

/ip dhcp-client add disabled=no interface=ether1

После добавления клиента вы должны увидеть назначенный IP-адрес и его статус bound:

[admin@MikroTik] > ip dhcp-client print
Columns: INTERFACE, USE-PEER-DNS, ADD-DEFAULT-ROUTE, STATUS, ADDRESS
# INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS ADDRESS
0 ether1 yes yes bound 1.2.3.100/24
Опция B: Статический IP

Если провайдер выдал фиксированные параметры, например:

Настроить их в RouterOS вручную:

/ip address add address=1.2.3.100/24 interface=ether1
/ip route add gateway=1.2.3.1
/ip dns set servers=8.8.8.8
Опция C: PPPoE подключение

PPPoE обычно динамически назначает IP, DNS и маршрут. Провайдер даёт логин и пароль:

/interface pppoe-client add disabled=no interface=ether1 user=me password=123 \ 
add-default-route=yes use-peer-dns=yes

В WinBox/WebFig:

pppoe_client_01.png

pppoe_client_02.png

Теперь WAN-интерфейс — pppoe-out1, а не ether1.

Проверка подключения

По окончании настроек вы сможете выходить в интернет с роутера. Проверьте IP-соединение с помощью ping:

[admin@MikroTik] > /ping 8.8.8.8
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 56 55 14ms399us
1 8.8.8.8 56 55 18ms534us
2 8.8.8.8 56 55 14ms384us

Также проверьте DNS-запрос:

[admin@MikroTik] > /ping google.com
SEQ HOST SIZE TTL TIME STATUS
0 142.250.74.14 56 55 14ms475us
1 142.250.74.14 56 55 14ms308us
2 142.250.74.14 56 55 14ms238us

При правильной настройке оба ping успешно проходят. В случае ошибки обратитесь к разделу устранения неполадок.

Настройка NAT

На данном этапе ПК ещё не может выходить в интернет, так как локальные адреса не маршрутизируются в интернет. Удалённые хосты не знают, как ответить на ваши локальные адреса.

Решение — изменить исходный адрес пакетов на публичный IP роутера, используя правило NAT:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Если публичный интерфейс — PPPoE, LTE или другой, то вместо ether1 укажите соответствующий интерфейс.

Такой NAT защищает клиентов за роутером от прямого доступа из интернета.

Проброс портов (Port Forwarding)

Для доступа к локальным клиентам из интернета по определённому порту (например, для RDP на IP 192.168.88.254), добавьте правило dstnat:

/ip firewall nat add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \ 
action=dst-nat to-address=192.168.88.254

Защита роутера

Роутер теперь доступен извне, поэтому важно защитить его от взломов.

Основная настройка безопасности (выполните в первую очередь)

1. Установите пароль администратора

Без пароля любой может получить доступ к роутеру.

2. Проверьте, что включены основные правила брандмауэра

Большинство домашних устройств имеют базовый брандмауэр. Не отключайте правила, добавляйте при необходимости.

3. Отключите управление с интернета

Это актуально для серии CCR, где firewall не настроен по умолчанию. Если нужен удалённый доступ, лучше использовать IPsec или Wireguard, а не открывать порты.

Настройка пароля пользователей

Рекомендуется создать надёжный пароль, содержащий:

Команда для установки пароля пользователя:

/user set 0 password="!={Ba3N!40TуX+GvKBzjTLIUcx/,"

Или задать пароль для текущего пользователя:

/password
old-password: ********
new-password: ****************************
confirm-new-password: ****************************

Учтите, что забытый пароль невозможно восстановить — придётся сбросить настройки или переустановить систему роутера!

Вы можете добавить новых пользователей с полными или ограниченными правами в меню /user:

/user add name=myname password=mypassword group=full
/user remove admin

Рекомендуется создать нового пользователя и отключить или удалить стандартного admin.

MAC доступ

По умолчанию MAC сервер работает на всех интерфейсах. Чтобы ограничить MAC доступ с WAN, отключите default all и добавьте LAN интерфейс:

/interface list add name=LAN
/interface list member add list=LAN interface=bridge1
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

Из WinBox/Webfig:

interface_list.png

int_list_port.png

mac_telnet_server.png

Обнаружение соседей (Neighbor Discovery)

Протокол MikroTik Neighbor Discovery показывает другие MikroTik роутеры в сети. Отключите его на публичных интерфейсах:

/ip neighbor discovery-settings set discover-interface-list=LAN

Настройка IP доступа

Хотя firewall защищает роутер от внешних сетей, можно ограничить доступ по IP-адресам:

/user set 0 address=x.x.x.x/yy

где x.x.x.x/yy — ваш IP или подсеть для разрешения доступа.

На публичном интерфейсе в firewall разрешите только ICMP (ping/traceroute), IP Winbox и ssh:

/ip firewall filter add chain=input action=accept connection-state=established,related,untracked comment="accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="drop invalid"
add chain=input in-interface=ether1 action=accept protocol=icmp comment="accept ICMP"
add chain=input in-interface=ether1 action=accept protocol=tcp port=8291 comment="allow Winbox"
add chain=input in-interface=ether1 action=accept protocol=tcp port=22 comment="allow SSH"
add chain=input in-interface=ether1 action=drop comment="block everything else"

Если вместо ether1 используется PPPoE, LTE или другой интерфейс, замените в правилах ether1 на соответствующий.

В WinBox/WebFig:

firewall_filter_add.png

firewall_filter_add_wb.png

Повторите, добавляя другие необходимые правила.

Административные сервисы

Хотя firewall защищает роутер, вы можете отключить ненужные сервисы RouterOS:

/ip service disable telnet,ftp,www,api

Измените стандартные порты сервисов, чтобы снизить число случайных попыток входа по SSH:

/ip service set ssh port=2200

Каждый сервис можно ограничить по IP адресам:

/ip service set winbox address=192.168.88.0/24

Другие сервисы

Настройка беспроводной сети

Для удобства будет выполнена мостовая настройка беспроводной сети, чтобы проводные и беспроводные устройства находились в одной Ethernet-домене вещания.

Важно защитить беспроводную сеть, для начала создайте профиль безопасности:

/interface wireless security-profiles add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \ 
wpa2-pre-shared-key=1234567890

В Winbox/WebFig:

winbox_wlan_sec_profile.png

Если в сети есть старые устройства, не поддерживающие WPA2 (например, Windows XP), можно разрешить WPA протокол. Но WPA и WPA2 ключи должны быть разными.

Когда профиль безопасности готов, включите беспроводной интерфейс и задайте параметры:

/interface wireless enable wlan1; set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \ 
mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \ 
security-profile=myProfile frequency-mode=regulatory-domain \ 
set country=latvia antenna-gain=3

В WinBox/WebFig:

winbox_wlan_iface.png

Последний шаг — добавить беспроводной интерфейс в локальный мост, иначе клиенты не получат IP:

/interface bridge port add interface=wlan1 bridge=bridge1

Теперь беспроводная сеть готова принимать клиентов, выдавать им IP и обеспечивать интернет-доступ.

Защита клиентов

Добавим базовые правила защиты для клиентов локальной сети:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related \ 
comment="fast-track for established,related"
add chain=forward action=accept connection-state=established,related \ 
comment="accept established,related"
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \ 
in-interface=ether1 comment="drop access to clients behind NAT from WAN"

Правила похожи на входящие (input): принимаются установленные/связанные и отбрасываются недействительные пакеты. Первая строка с fasttrack позволяет значительно уменьшить нагрузку на CPU.

Последнее правило блокирует новые соединения с WAN к LAN, если не используется dstnat. Это снижает риск атак на локальные хосты.

Подробности и расширенные примеры настройки брандмауэров поищите в статье о построении первого брандмауэра.

Блокировка нежелательных сайтов

Иногда нужно запретить доступ к определённым сайтам (например, развлекательным, порнографическим) на работе. Для этого перенаправляют HTTP трафик на прокси и используют списки доступа для разрешения или блокировки сайтов.

Для начала добавим правило NAT, которое перенаправляет HTTP трафик на встроенный прокси на порту 8080:

/ip firewall nat add chain=dst-nat protocol=tcp dst-port=80 src-address=192.168.88.0/24 \ 
action=redirect to-ports=8080

Включаем прокси и запрещаем некоторые сайты:

/ip proxy set enabled=yes
/ip proxy access add dst-host=www.facebook.com action=deny
/ip proxy access add dst-host=*.youtube.* action=deny
/ip proxy access add dst-host=:vimeo action=deny

Используя Winbox:

winbox_ip_web_proxy.png

winbox_ip_web_proxy_access.png

Устранение неполадок

RouterOS содержит встроенные инструменты для диагностики, например, ping, traceroute, torch, packet sniffer, bandwidth test.

Мы ранее использовали ping для проверки интернет-соединения.

Защита вашего роутера

Обзор

Ниже приведены рекомендации по дополнительной защите вашего устройства при уже настроенных строгих правилах брандмауэра.

Версия RouterOS

Начните с обновления версии RouterOS. В некоторых старых версиях присутствовали уязвимости, которые были исправлены. Поддерживайте устройство в актуальном состоянии, чтобы обеспечить безопасность. В WinBox или WebFig нажмите "проверить обновления" для обновления. Рекомендуем следить за объявлениями в нашем блоге о безопасности, чтобы быть в курсе новых проблем.

Доступ к роутеру

Имя пользователя для доступа

Измените стандартное имя пользователя admin на другое. Индивидуальное имя помогает защитить доступ к роутеру, если кто-то имеет прямой доступ к вашему устройству:

/user add name=myname password=mypassword group=full
/user disable admin

Пароль доступа

MikroTik роутеры требуют настройки пароля. Мы рекомендуем использовать генераторы паролей для создания безопасных, уникальных паролей. Под безопасным паролем подразумевается:

/user set myname password="!={Ba3N!40TуX+GvKBz?jTLIUcx/,"

Защита доступа к устройству

Чтобы предотвратить удалённый доступ к вашему устройству, настроен предустановленный брандмауэр, который блокирует соединения с WAN (интернет стороны). Это сделано намеренно. Не удаляйте эти правила, если не уверены в безопасности соединения.

Если вам нужно открыть удалённый доступ, рекомендуем использовать VPN, например WireGuard.

Руководство по настройке WireGuard VPN доступно здесь.

Доступ по MAC (RouterOS MAC-access)

В RouterOS есть встроенные опции для удобного административного доступа к сетевым устройствам. Рекомендуется отключить следующие сервисы на рабочих сетях:

/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no
Обнаружение соседей (Neighbor Discovery)

Протокол MikroTik Neighbor Discovery используется для отображения и распознавания других роутеров MikroTik в сети. Рекомендуется отключить обнаружение соседей на всех интерфейсах:

/ip neighbor discovery-settings set discover-interface-list=none
Сервер пропускной способности (Bandwidth server)

Сервер пропускной способности используется для тестов между двумя роутерами MikroTik. Его стоит отключить в рабочей среде:

/tool bandwidth-server set enabled=no
DNS кеш

В роутере может быть включён DNS кеш, который ускоряет разрешение DNS-запросов с клиентов к удалённым серверам. Если кеш не нужен или используется другой роутер для этих целей, отключите его:

/ip dns set allow-remote-requests=no
Другие клиентские сервисы

MikroTik RouterOS может иметь включённые дополнительные сервисы (по умолчанию они отключены). Это прокси, socks, UPnP и облачные сервисы:

/ip proxy set enabled=no
/ip socks set enabled=no
/ip upnp set enabled=no
/ip cloud set ddns-enabled=no update-time=no
Более безопасный доступ по SSH

Можно включить более строгие настройки SSH (добавить aes-128-ctr и запретить hmac sha1 и группы с sha1):

/ip ssh set strong-crypto=yes
Интерфейсы роутера

Ethernet/SFP интерфейсы

Рекомендуется отключать все неиспользуемые интерфейсы на вашем роутере, чтобы снизить риск несанкционированного доступа:

/interface print
/interface set X disabled=yes

где X — номера неиспользуемых интерфейсов.

ЖК-дисплей (LCD)

Некоторые RouterBOARD имеют ЖК-модуль для отображения информации. Можно установить PIN код:

/lcd/pin/set pin-number=3659 hide-pin-number=yes

Или отключить ЖК-дисплей полностью:

/lcd/set enabled=no

Обновление и установка

Обновление и установка

Обновление и установка

Обзор

Устройства MikroTik поставляются с предустановленным RouterOS, поэтому обычно установка не требуется, за исключением случаев установки RouterOS на ПК x86 или виртуальный экземпляр CHR. Процедура обновления на уже установленных устройствах проста.

Обновление

Нумерация версий

Версии RouterOS нумеруются последовательно. Точка используется для разделения последовательностей, но не является десятичной точкой, и последовательности не имеют позиционного значения. Например, версия 2.5 — это пятое второе обновление второго первого уровня, а не "два с половиной" или "половина до версии три". Следовательно, версия v5.2 старше, чем v5.18, которая новее.

Версии RouterOS выпускаются в нескольких "цепочках релизов": Long term, Stable, Testing и Development. При обновлении RouterOS можно выбрать цепочку, откуда будут устанавливаться пакеты.

1.png

Стандартное обновление

Функция обновления пакетов подключается к серверам MikroTik и проверяет, есть ли новая версия RouterOS под выбранным каналом выпуска. Можно использовать и понижение версии, например, если сейчас используется стабильный релиз, а сменили канал на long-term.

При нажатии кнопки Check For Updates в QuickSet (или в меню System → Packages) откроется окно с текущими или последними изменениями (если есть новая версия). Если версия новая, появятся кнопки Download и Download & Install. Кнопка Download скачивает последнюю версию (требует ручной перезагрузки устройства), кнопка Download & Install запускает скачивание и после успешного завершения автоматически перезагружает устройство для установки обновлений.

Версии зависят от выбранного релизного канала. Некоторые версии могут быть недоступны. Нельзя сразу обновиться с очень старой версии до самой новой через этот метод. Например, если у вас RouterOS v6.x, при выборе канала "Upgrade" вы увидите только v7.12.1 как доступную версию. Сначала нужно обновиться до нее, а потом появятся более новые версии.

Если установлены кастомные пакеты, загрузчик учтет это и скачает все необходимые пакеты.

Рекомендуется обновлять загрузчик (bootloader) после обновления RouterOS. Чтобы обновить загрузчик, выполните в CLI:

/system routerboard upgrade

Затем перезагрузите устройство.

Или в GUI System → RouterBOARD нажмите кнопку "Upgrade" и перезагрузите устройство.

2.jpg

3.png

4.png

Можно автоматизировать обновления с помощью скрипта системного планировщика. Скрипт опрашивает серверы MikroTik, и при сообщении "New version is available" запускает обновление. Важно: если вы запускаете скрипт впервые на старом релизе, он может не увидеть новых версий. Например, при использовании v6.x нужно сначала вручную выбрать канал "Upgrade" для промежуточного обновления до v7.12.1, затем новые версии v7 станут доступны в каналах.

[admin@MikroTik] >/system package update check-for-updates once :delay 3s; :if ( [get status] = "New version is available") do={ install }

Ручное обновление

RouterOS можно обновить следующими способами:

После обновления RouterOS рекомендуется обновить загрузчик, как описано выше.

RouterOS нельзя обновить через последовательный кабель. Через этот метод можно обновлять только RouterBOOT.

Процесс ручного обновления

  1. Первым шагом перейдите на сайт www.mikrotik.com на страницу Software и выберите архитектуру системы (архитектуру можно узнать в System → Resource);
  2. Скачайте основные пакеты routeros и дополнительные, установленные на устройстве;
  3. Загрузите пакеты на устройство одним из описанных способов.

Команда для обновления только основного пакета RouterOS, при игнорировании отсутствующих пакетов:

/system/package/update install ignore-missing

Использование WinBox

Выберите вашу архитектуру и скачайте пакет обновления. Подключитесь к роутеру через WinBox, выберите скачанный файл и перетащите его в меню Files. Если некоторые файлы уже есть, убедитесь, что пакеты загружаются в корневое меню, а не в папку hotspot. Загрузка начнется.

5.png

После завершения перезагрузите устройство. Новая версия будет отображаться в заголовке WinBox и в меню Packages.

Использование FTP

[admin@MikroTik] >/file print
Columns: NAME, TYPE, SIZE, CREATION-TIME
# NAME TYPE SIZE CREATION-TIME
0 routeros-7.9-arm.npk package 13.0MiB may/18/2023 16:16:18
1 pub directory nov/04/2022 11:22:19
2 ramdisk directory jan/01/1970 03:00:24

[admin@MikroTik] >/system reboot
Reboot, yes? [y/N]: y

[admin@MikroTik] >/system package print

[admin@MikroTik] >/log print without-paging

Локальное обновление RouterOS

Подменю: system/package/local-update/

Можно обновлять один или несколько роутеров MikroTik в локальной сети с помощью одного устройства, на котором лежат нужные пакеты. Функция доступна с версии 7.17beta3 (System → Packages Local Update) и заменяет функцию автoобновления (System → Auto Update).

Пример с тремя роутерами (метод применим к сети с любым количеством устройств):

tool/fetch url=https://download.mikrotik.com/routeros/7.16.1/routeros-7.16.1-arm.npk

Обновление RouterOS через Dude

Автообновление в Dude
Иерархическое обновление Dude

В сложных сетях, где роутеры последовательно соединены (например, 1router-2router-3router), может возникнуть проблема, что 2router перезагрузится до того, как пакеты будут загружены в 3router. Решение — использование групп устройств в Dude, которые позволяют обновить всех с одним кликом.

Проблемы с лицензией

Netinstall

NetInstall — широко используемый инструмент установки RouterOS. Запускается на Windows или с помощью netinstall-cli на Linux, либо через Wine (требуются права суперпользователя).

Утилиты NetInstall доступны для скачивания в разделе загрузок MikroTik.

NetInstall используется для переустановки RouterOS, если предыдущая установка была повреждена, неудачна или утеряны пароли доступа.

Для работы NetInstall устройство должно поддерживать загрузку по Ethernet с прямым соединением между ПК с NetInstall и устройством. Все RouterBOARD поддерживают PXE загрузку по сети, её можно включить в меню RouterOS "routerboard" (если доступен RouterOS) или в настройках загрузчика через последовательный кабель.

Примечание: для устройств RouterBOARD без последовательного порта или доступа к RouterOS, можно активировать PXE загрузку с помощью кнопки сброса (Reset).

NetInstall может напрямую установить RouterOS на диск (USB/CF/IDE/SATA), подключённый к ПК с NetInstall. После установки диск можно перенести в роутер и загрузиться с него.

Внимание! Не устанавливайте RouterOS на системный диск ПК, это приведёт к форматированию и удалению ОС.

Типы пакетов RouterOS

Информация о пакетах RouterOS доступна здесь.

Обновление и установка

Пакеты

Резюме

Функции RouterOS разделены на "пакеты" — файлы с расширением .npk. Большинство функций объединены в один пакет, но некоторые функции вынесены в отдельные. Установка соответствующего пакета NPK может включить специфические функции (например, container, dude). Пакеты предоставляются только MikroTik, третьи лица не могут их создавать. Вы можете отдельно скачать дополнительные пакеты с нашей страницы загрузок, или с версии 7.18 добавить дополнительные пакеты напрямую с вашего роутера.

Минимальные требования

Для работы RouterOS требуется только системный пакет, но для большинства устройств нормальная работа возможна при установке набора пакетов "routeros".

Для беспроводных устройств доступно несколько пакетов в зависимости от используемого оборудования:

Подробности о том, какой беспроводной пакет использовать, доступны в руководстве по беспроводным сетям.

Другие пакеты являются опциональными и не обязательны для домашнего роутера. Устанавливайте их только если уверены в их назначении.

Установка пакетов

Ручная загрузка

Чтобы вручную скачать и установить дополнительные пакеты, загрузите нужный пакет с министра MikroTik, выбрав раздел RouterOS в зависимости от архитектуры устройства (указывается в меню System → Resources). Распакуйте архив и загрузите нужный пакет на роутер любым удобным способом, затем перезагрузите роутер.

Загрузка напрямую с роутера

Начиная с версии 7.18 возможна загрузка и установка дополнительных пакетов прямо с роутера через раздел System Packages.

Эту функцию показали в видео анонса версии 7.18.

Список пакетов После загрузки списка через "Check for updates" Включение пакета Нажатие "Apply Changes"
Проверка установки

Чтобы убедиться, что пакет установлен успешно, проверьте раздел "Log" после перезагрузки устройства. Если пакет установлен корректно, появится соответствующее сообщение. Если возникли конфликты или требования не выполнены, это будет пояснено, чтобы вы могли принять меры.

Системные пакеты

ПакетОписание
routeros-arm (arm)системный пакет для устройств arm
routeros-arm (arm64)системный пакет для устройств arm64
routeros-mipsbe (mipsbe)системный пакет для устройств mipsbe
routeros-mmips (mmips)системный пакет для устройств mmips
routeros-smips (smips)системный пакет для устройств smips
routeros-tile (tile)системный пакет для устройств tile
routeros-ppc (ppc)системный пакет для устройств ppc
routeros (x86, CHR)системный пакет для установок x86 и среды CHR

Дополнительные пакеты

Пакет (поддерживаемая архитектура)Описание
calea (arm, arm64, mipsbe, mmips, tile, ppc, x86, CHR)Инструмент сбора данных для специфического использования согласно "Закону о содействии правоохранительным органам" в США
container (arm, arm64, x86, CHR)Реализация контейнеров Linux, позволяет запускать контейнеризованные среды внутри RouterOS
dude (arm, arm64, mmips, tile, x86, CHR)Утилита Dude для мониторинга сетевой среды
extra-nic (arm64)Поддержка сетевых интерфейсных карт (NIC) для архитектуры arm64, рекомендуется для установки UEFI на не-MikroTik платах
gps (arm, arm64, mipsbe, mmips, tile, ppc, x86, CHR)Поддержка GPS устройств
iot (arm, arm64, mipsbe, mmips, tile, ppc, x86, CHR)Включает функции IoT
iot-bt-extra (arm, arm64)Пакет для ARM, ARM64 устройств, обеспечивающий использование USB Bluetooth адаптеров (поддержка LE 4.0+)
lora (arm, arm64, mipsbe, mmips, tile, ppc, x86, CHR)Пакет-заглушка для поддержки LoRa, LoRa функциональность перенесена в пакет iot
lte (mipsbe)Пакет, необходимый для SXT LTE (RBSXTLTE3-7), содержит драйверы для встроенного интерфейса LTE
rose-storage (arm, arm64, tile, x86, CHR)Дополнительные возможности корпоративных дата-центров, поддержка мониторинга дисков, RAID, rsync, iSCSI, NVMe over TCP, NFS, SMB
tr069-client (arm, arm64, mipsbe, mmips, smips, tile, ppc, x86, CHR)Клиент TR069
ups (arm, arm64, mipsbe, mmips, tile, ppc, x86, CHR)Интерфейс управления UPS APC
user-manager (arm, arm64, mipsbe, mmips, tile, ppc, x86, CHR)Сервер MikroTik User Manager для контроля пользователей Hotspot и других сервисов
wifi-qcom (arm, arm64)Обязательный драйвер для интерфейсов 802.11ax, введён в 7.13; поддержка Wifi CAPsMAN входит в системный пакет
wifi-qcom-ac (arm)Опциональный драйвер Wifi для совместимых 802.11ac интерфейсов, введён в 7.13
wireless (arm, arm64, mipsbe, mmips, tile, ppc, x86, CHR)Утилиты и драйверы для управления WiFi (до 802.11ac) и беспроводными интерфейсами 60GHz
zerotier (arm, arm64)Включает функциональность ZeroTier

Работа с пакетами

Меню: /system package

Команды, выполненные в этом меню, применяются только после перезагрузки роутера. До этого пользователь может планировать или отменять изменения.

КомандаОписание
disableзапланировать отключение пакета после следующей перезагрузки. Функции пакета будут недоступны
downgradeзапрос на перезагрузку. При перезагрузке попытка вернуть RouterOS к самой старой версии среди загруженных пакетов
enableзапланировать включение пакета после следующей перезагрузки
uninstallзапланировать удаление пакета с роутера, которое произойдет при перезагрузке
unscheduleудалить запланированную задачу для пакета
(без команды)вывести информацию о пакетах: версия, состояние, запланированные изменения и т.д.
updateуправляет каналом "проверки обновлений" и выполняет обновления RouterOS
apply-changesприменить запланированные изменения и перезагрузить устройство

Меню: /system/check-installation

Функция "Проверка установки" обеспечивает целостность системы RouterOS, проверяя читаемость и правильность расположения файлов. Основная задача — подтвердить состояние NAND/Flash памяти.

Команда: /system/package/update install ignore-missing позволяет обновлять только основной пакет RouterOS, пропуская отсутствующие или не загруженные при ручном обновлении пакеты.

Автоматическая установка

Можно автоматически устанавливать пакеты после их загрузки на роутер через FTP или SFTP. Имя файла пакета должно иметь расширение .auto.npk. После загрузки файла роутер автоматически перезагрузится для установки пакета.

Расширение .auto.npk в имени файла обязательно для автоматической установки.

Локальное обновление

Вместо подключения напрямую к серверам MikroTik вы можете загрузить файлы пакетов на одно из ваших локальных устройств RouterOS и использовать его как локальный сервер пакетов.

Меню: /system package local-update

КомандаОписание
download-allЗагружает все совместимые (по архитектуре устройства) пакеты, доступные на локальном сервере. Скачанные пакеты сохраняются в корневой директории.
downloadЗагружает конкретные совместимые пакеты, доступные на локальном сервере. Сохраняются в корне.
refreshОбновляет/проверяет список доступных совместимых пакетов на локальном сервере.

Сервер пакетов можно настроить в system/package/local-update/update-package-source/

Свойства update-package-source
СвойствоОписание
address (IPv4 адрес)Адрес локального сервера пакетов (поддерживаются только IPv4)
user (строка)Имя пользователя для доступа к серверу
password (строка)Пароль для доступа к серверу

Также можно настроить зеркалирование пакетов (для всех архитектур) с основного сервера, используя system/package/local-update/mirror/

Скачанные пакеты сохраняются в папку packs в корне.

Свойства mirror
СвойствоОписание
primary-server (IPv4 адрес)Адрес основного локального сервера
secondary-server (IPv4 адрес)Адрес вторичного локального сервера
user (строка)Пользователь для доступа к серверу
password (строка)Пароль для доступа к серверу
check-interval (время [ЧЧ:ММ:СС])Интервал проверки нового пакета; при обнаружении нового – начало загрузки (только пакеты, которых нет на устройстве)
enabled (yes | no)Включить/выключить периодическую проверку и загрузку пакетов с локального сервера

Меню: /system package local-update mirror

КомандаОписание
force-checkПроверяет локальный сервер на наличие новых пакетов и загружает их если они есть (только отсутствующие)

Примеры

Список пакетов

Пакет zerotier отключён, но установлен; пакет iot доступен на сервере, но не загружен и не включён; пакет dude запланирован к удалению.

/system package print
Flags: X - DISABLED
Columns: NAME, VERSION, SCHEDULED
# NAME VERSION SCHEDULED
0 dude 7.9 scheduled for uninstall
1 X zerotier 7.9
2 routeros 7.9
3 XA iot 7.9
Удаление пакета
/system package uninstall dude; /system reboot; 
Reboot, yes? [y/N]:
Отключение пакета
/system package disable zerotier; /system reboot; 
Reboot, yes? [y/N]:
Понижение версии
/system package downgrade; /system reboot; 
Reboot, yes? [y/N]:
Отмена удаления или отключения
/system package unschedule zerotier; 
/system package unschedule dude;

Управление конфигурацией

Управление конфигурацией

Управление конфигурацией

Обзор

Эта статья описывает набор команд, используемых для управления конфигурацией.

Отмена и повтор настройки (Undo и Redo)

Любое действие, выполненное в графическом интерфейсе или любая команда, выполненная из CLI, записывается в /system history. Вы можете отменить или повторить любое действие, запустив команды undo или redo из CLI или нажав соответствующие кнопки в GUI.

Простой пример для демонстрации добавления правила брандмауэра и как отменить и повторить действие:

[admin@v7_ccr_bgp] /ip/firewall/filter> add chain=forward action=drop
[admin@v7_ccr_bgp] /ip/firewall/filter> print
Flags: X - disabled, I - invalid; D - dynamic
0 X chain=input action=drop protocol=icmp src-address=10.155.101.1 log=no log-prefix=""
[admin@v7_ccr_bgp] /system/history/print
Flags: U - undoable, R - redoable, F - floating-undo
Columns: ACTION, BY, POLICy
ACTION BY POLIC
filter rule added admin write U --- write

Добавили правило брандмауэра и в /system history видим все выполненные действия.

Давайте отменим всё:

[admin@v7_ccr_bgp] /ip/firewall/filter> /undo

[admin@v7_ccr_bgp] /ip/firewall/filter> print
Flags: X - disabled, I - invalid; D - dynamic
0 X chain=input action=drop protocol=icmp src-address=10.155.101.1 log=no log-prefix=""

Как видно, правило исчезло.

Теперь повторим последнее изменение:

[admin@v7_ccr_bgp] /ip/firewall/filter> /redo

[admin@v7_ccr_bgp] /ip/firewall/filter> print
Flags: X - disabled, I - invalid; D - dynamic
0 X chain=input action=drop protocol=icmp src-address=10.155.101.1 log=no log-prefix=""
1 chain=forward action=drop

История системы может показывать точные CLI-команды, которые будут выполнены при "Undo" или "Redo", даже если действие выполнено через GUI. Например, подробно история после добавления правила TCP Accept из WinBox:

[admin@v7_ccr_bgp] /system/history> print detail
Flags: U - undoable, R - redoable, F - floating-undo
F redo= /ip firewall filter add action=accept chain=forward disabled=no log=no \ log-prefix="" protocol=tcp undo=/ip firewall filter remove *4 action="filter rule added" by="admin" policy=write time=oct/10/2019 18:51:05
F redo=/ip firewall filter add action=accept chain=forward undo=/ip firewall filter remove *3 action="filter rule added" by="admin" policy=write time=oct/10/2019 18:49:03
U redo="" undo="" action="---" by="" policy=write time=sep/27/2019 13:07:35

Безопасный режим (Safe Mode)

Иногда изменение конфигурации делает роутер недоступным, кроме как из локальной консоли. Обычно – случается по ошибке. Тогда невозможно отменить изменения, если соединение уже порвано. Safe Mode помогает минимизировать этот риск.

image-2023-3-8_13-44-21.png

""Кнопка" Safe Mode в графическом интерфейсе Winbox позволяет войти в безопасный режим, а в CLI — через сочетание клавиш F4 или [CTRL]+[X]. Чтобы выйти без сохранения изменений, нажмите [CTRL]+[D].]"

[admin@MikroTik] ip route>[CTRL]+[X]
[Safe Mode taken]
[admin@MikroTik] ip route<SAFE>

Сообщение "Safe Mode taken" отображается, и приглашение меняется, чтобы показать, что сессия в безопасном режиме. Все изменения, сделанные во время SAFE mode (включая из других сессий), автоматически отменяются при аварийном завершении. Все такие изменения отмечены флагом F в системе истории.

[admin@MikroTik] /ip/route> [Safe Mode taken]
[admin@MikroTik] /ip/route<SAFE>
add

Если соединение по telnet или в терминале WinBox прервано, то через ~9 минут все изменения, сделанные в safe mode, отменяются. Выйти из safe mode командой [Ctrl]+[D — то же самое, а команда /quit — не отменяет.

Если другой пользователь войдет в safe mode, то он увидит сообщение:

[admin@MikroTik] > Hijacking Safe Mode from someone - unroll/release/don't take it [u/r/d]:
- [u] — отменяет все изменения safe mode и переводит текущую сессию в безопасный режим
- [r] — сохраняет все текущие изменения и переводит текущую сессию в safe mode.
- [d] — оставляет всё как есть.

Резервное копирование и восстановление системы

Резервное копирование — способ полностью клонировать конфигурацию роутера в бинарном формате.

Подробнее о Backup и Restore можно прочитать здесь.

Экспорт и импорт конфигурации

RouterOS позволяет экспортировать и импортировать части конфигурации в читаемом текстовом формате. Это пригодится для копирования настроек между устройствами, например, клонирование всей брандмауэрной политики.

Команда экспорта может выполняться из каждого меню (экспорт только из этого меню) или из корневого для полного экспорта. В CLI доступен только этот способ.

Команда экспорта не экспортирует пароли пользователей, установленные сертификаты, SSH-ключи, базы данных Dude или User-manager.

Экспортированные сертификаты, базы данных Dude и User-manager нужно экспортировать и импортировать вручную в новое устройство.

Пароли пользователей и SSH-ключи не подлежат экспорту.

При импорте рекомендуется использовать ту же версию RouterOS, что и при экспорте, чтобы избежать ошибок команд.

Экспорт конфигурации

Принятые параметры команды экспорта:

Свойство Описание
compact Выводит только измененную конфигурацию, поведение по умолчанию
file Экспортировать конфигурацию в указанный файл. Если файл не указан — выводит в терминал
show-sensitive Показывать чувствительную информацию, такую как пароли и ключи
hide-sensitive Скрывает чувствительную информацию для безопасности
terse Выводит только параметры конфигурации без значений по умолчанию
verbose Выводит всю конфигурацию включая значения по умолчанию

Пример экспорта конфигурации из /ip address и сохранения в файл:

[admin@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS          NETWORK        BROADCAST      INTERFACE
0  10.1.0.172/24    10.1.0.0       10.1.0.255     bridge1
1  10.5.1.1/24      10.5.1.0       10.5.1.255     ether1
[admin@MikroTik] > /ip address export file=address
Импорт конфигурации

Команда import позволяет запустить скрипт конфигурации из файла (расширение .rsc), содержащий любые команды CLI, даже сложные скрипты.

Пример загрузки сохраненного файла конфигурации:

[admin@MikroTik] > import address.rsc
Loading script file address.rsc
Script file loaded and executed successfully

Параметры команды import:

Свойство Описание
from-line Начать выполнение скрипта с указанной строки (только в verbose режиме)
file-name Имя файла (.rsc), который нужно выполнить
verbose Читать и выполнять построчно, удобно для отладки
dry-run Симуляция импорта без изменения конфигурации (помогает отлавливать синтаксические ошибки), только в verbose

Автоматический импорт

Можно настроить автоматический запуск скриптов при загрузке файлов на роутер через FTP или SFTP. Для этого файл должен иметь расширение *.auto.rsc. После загрузки файлы автоматически выполняются.

Расширение *.auto.rsc обязательно для автоматического выполнения.

Устранение неполадок при импорте

Части конфигурации, на которые стоит обратить внимание при импорте .rsc

Перед импортом файла, созданного командой "/export", необходимо устранить следующие конфликты:

[interface ethernet set [ find default-name=ether5 ] auto-negotiation=no name=ether1-gateway
/set [ find default-name=ether6 ] name=ether2
/set [ find default-name=ether7 ] name=ether3
/set [ find default-name=ether8 ] name=ether4
/set [ find default-name=ether1 ] name=ether5
/set [ find default-name=ether2 ] name=ether6
/set [ find default-name=ether3 ] name=ether7
/set [ find default-name=ether4 ] name=ether8

В более старых версиях "export" могут выводить неиспользуемые "add" вместо "set". Это нужно исправлять перед импортом.

Проверьте, что общее число физических интерфейсов совпадает с количеством в исходной и целевой конфигурации. Могут возникнуть ошибки, если чего-то не хватает.

При ошибках импорта

Задержка запуска (Startup delay)

Если конфигурация зависит от интерфейсов, которые ещё не запустились, предусмотрите задержки или мониторинг их появления. Такой скрипт может ждать появления всех нужных интерфейсов.

{ :local i 0
#Количество интерфейсов. Настройте число для каждого устройства (/interface print count-only)
:local x 10
#Максимальное время ожидания
:local t 30
while ($i < $t && [:len [/interface find]] < $x]) do={
:put $i
:set $i ($i + 1)
:delay 1
}
if ($i = $t) do={
:log warning message="Не удалось загрузить все физические интерфейсы"
} else={
#Остальная часть скрипта
}

Сброс конфигурации

RouterOS позволяет сбросить конфигурацию командой /system reset-configuration.

Эта команда очищает все настройки и возвращает их к заводским. Можно использовать параметры для тонкой настройки поведения.

Свойство Описание
keep-users Не удалять существующих пользователей
no-defaults Не загружать стандартную конфигурацию, оставить только очистку
skip-backup Пропустить автоматическое создание резервной копии перед сбросом
run-after-reset Запускать указанный .rsc файл после сброса, чтобы загрузить свою конфигурацию
caps-mode Режим Caps

Пример, жесткий сброс без загрузки стандартной конфигурации и пропуска бэкапа:

[admin@MikroTik] > /system reset-configuration no-defaults=yes skip-backup=yes
Действительно сбросить? [y/N]:

И аналогично из Winbox:

image-2023-6-7_12-34-8.png

Консоль

Обзор

Консоль используется для доступа к конфигурации и управлению MikroTik Router с помощью текстовых терминалов: удалённо через последовательный порт, telnet, SSH, или через консольный экран в Winbox, либо напрямую с монитором и клавиатурой. Консоль также применяется для написания скриптов. В этом руководстве описаны общие принципы работы с консолью. Для более продвинутых команд и создания скриптов смотрите Руководство по скриптам.

Иерархия

Консоль позволяет настраивать роутер с помощью текстовых команд. Из-за большого количества команд они разделены на группы, организованные в виде иерархических уровней меню. Название уровня меню отражает доступную информацию, например, /ip hotspot.

Пример

Можно выполнить команду

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS    PREF-SRC G GATEWAY    DIS INTERFACE
0 A S 0.0.0.0/0    r        10.0.3.1    1 bridge1
1 ADC 1.0.1.0/24  1.0.1.1              0 bridge1
2 ADC 1.0.2.0/24  1.0.2.1              0 ether3
3 ADC 10.0.3.0/24 10.0.3.144            0 bridge1
4 ADC 10.10.10.0/2410.10.10.1           0 wlan1
[admin@MikroTik] >

Вместо того, чтобы писать /ip route перед каждой командой, можно один раз ввести этот путь и работать в этом разделе меню:

[admin@MikroTik] > ip route
[admin@MikroTik] ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static ...
# DST-ADDRESS ...

Подсказка изменяется, показывая текущий уровень в меню. Чтобы перейти в корневой уровень, введите /:

[admin@MikroTik] > ip route
[admin@MikroTik] ip route> /
[admin@MikroTik] >

Чтобы подняться на уровень выше, введите ..:

[admin@MikroTik] ip route> ..
[admin@MikroTik] ip>

Можно также использовать / и .. для выполнения команд из других уровней без изменения текущего уровня:

[admin@MikroTik] ip route> /ping 10.0.0.1
10.0.0.1 ping timeout
2 packets transmitted, 0 packets received, 100% packet loss
[admin@MikroTik] ip firewall nat> .. service-port print
Flags: X - disabled, I - invalid
# NAME        PORTS
0 ftp         21
1 tftp        69
2 irc         6667
3 h323
4 sip
5 pptp
[admin@MikroTik] ip firewall nat>

Имена и номера элементов

Многие уровни команд работают с массивами элементов: интерфейсы, маршруты, пользователи и т. п. Эти списки показываются с номерами элементов, флагами и параметрами.

Для изменения параметров элемента используйте команду set с указанием имени или номера элемента.

Имена элементов

Некоторые списки имеют элементы с уникальными именами, например, интерфейсы или пользователи. Там можно использовать имена вместо номеров.

Номера элементов

Номера элементов назначаются командой print и не являются постоянными — два последовательных вызова могут вывести разный порядок. Эти номера запоминаются и остаются валидными до следующей команды print или выхода из консоли. Номера назначаются для каждого списка отдельно.

Можно указать несколько номеров для некоторых команд.

[admin@MikroTik] > interface print
Flags: X - disabled, D - dynamic, R - running
# NAME    TYPE    MTU
0 R ether1  ether   1500
1 R ether2  ether   1500
2 R ether3  ether   1500
3 R ether4  ether   1500
[admin@MikroTik] > interface print Flags: X - disabled, D - dynamic, R - running
#NAME TYPE MTU
0 R ether1 ether 1460 
1 R ether2 ether 1460 
2 R ether3 ether 1460 
3 R ether4 ether 1500 
[admin@MikroTik] >

Внимание: не используйте номера элементов в скриптах и планировщике, они ненадёжны. Используйте команду find.

Быстрый ввод

В консоли есть две возможности упростить ввод: автодополнение при нажатии [Tab] и сокращения названий команд.

Автодополнение работает как в UNIX shell: если вы вводите часть слова и нажимаете [Tab], консоль пытается найти команду, начинающуюся с этой части. Если совпадение одно — ввод дополняется и добавляется пробел.

/inte[T AB]  → /interface

Если совпадений несколько, но у них есть общий префикс длиннее вашего ввода, ввод дополняется до общего префикса, но пробел не добавляется:

/interface set e[TAB] → /interface set ether

Если вы набрали общий префикс, первый [Tab] ничего не сделает, а второй выведет все варианты.

Допускаются сокращения команд и аргументов — вы можете вводить только начало команды, если оно однозначно, и консоль примет это за полное имя.

Например,

pin 10.1 c 3 si 100

равнозначен

ping 10.0.0.1 count 3 size 100

Можно сокращать даже подстроки, если они уникальны. Например,

interface m[TAB]  → interface monitor-traffic

Общие команды

В почти всех меню доступны команды add, edit, find, move, remove, set, reset, export, get, enable, disable, comment. Они ведут себя похоже на разных уровнях.

add — добавляет новый элемент с указанными значениями, обычно в конец списка.

Общие параметры add:

add возвращает внутренний номер добавленного элемента.

edit — редактирует свойства, в том числе длинные тексты, например, скрипты. В зависимости от терминала запускается полноэкранный или однострочный редактор.

find — ищет элементы по значениям параметров и флагам (disabled, active). Возвращает номера найденных элементов.

move — меняет порядок элементов. Первый аргумент — элементы для перемещения, второй — перед каким элементом поставить (если не указан — в конец).

print — выводит список элементов.

remove — удаляет указанные элементы.

set — изменяет параметры элемента. Аргументы соответствуют параметрам.

reset — сбрасывает параметры к значениям по умолчанию.

export — экспортирует конфигурацию из текущего меню и подменю, если указать файл, запись идет туда, иначе на консоль.

get — получает параметр элемента, по умолчанию не выводит, но в связке с :put можно показать.

enable — включает элемент.

disable — отключает элемент.

comment — позволяет оставлять комментарии к элементам.

Пример объединения команд: добавить правило с поиском по комментарию

/ip firewall/filter/add chain=forward place-before=[find where comment=CommentX]
/ip/firewall/filter/add chain=forward place-before="CommentX"

Режимы редактирования строк

Консоль работает в двух режимах: многострочном и однострочном. Многострочный редактор показывает полную строку (даже если длиннее экрана) и использует полноэкранный редактор для длинных текстов, например, скриптов. Однострочный режим ограничен одной строкой и обрезает длинные участки.

Выбор режима зависит от возможностей терминала.

Настройки консоли

В меню /console/settings возможно включить замену зарезервированных символов в именах файлов на подчёркивания.

Параметр Описание
sanitize-names (yes | no; по умолчанию no) Заменять зарезервированные символы (\ / : * ? |) на подчёркивания
Основные горячие клавиши
Клавиша Действие
F1 Список доступных команд
command F1 Справка по команде и список аргументов
[Tab Автодополнение
F3 или Ctrl-R Поиск в истории команд
F4 или Ctrl-X Переключение безопасного режима
F5 или Ctrl-L Обновить экран
F7 Переключение Hotlock режима
F8 Вывод мультистрочного ввода
Ctrl-\ Разделить строку
Home или Ctrl-A Начало строки
End или Ctrl-E Конец строки
Ctrl-C Прервать действие
Ctrl-D Завершить сессию (если строка пустая)
Ctrl-K Удалить до конца строки
Ctrl-U Удалить до начала строки
Ctrl-T Переключение фоновой задачи / Подняться к базовому уровню
.. Подняться на уровень выше
/command Выполнить команду на базовом уровне

Клавиши up, down и split оставляют курсор в конце строки.

Встроенная справка

Консоль имеет встроенную помощь. Нажмите F1 для справки по использованию консоли. Помощь показывает, что можно ввести в позиции, где нажата клавиша (подобно двойному нажатию [Tab], но с подробным объяснением).

Safe Mode

Иногда изменение конфигурации роутера может привести к потере доступа к нему (кроме как через локальную консоль). Обычно это происходит случайно, но после разрыва соединения с роутером нельзя отменить последнее изменение. Safe Mode используется для минимизации такого риска.

Кнопка "Safe Mode" в графическом интерфейсе Winbox позволяет войти в безопасный режим, а в CLI доступ к нему можно получить через комбинацию клавиш F4 или [CTRL]+[X]. Для выхода без сохранения изменений в CLI нажмите [CTRL]+[D].

[admin@MikroTik] ip route>[CTRL]+[X]
[Safe Mode taken]
[admin@MikroTik] ip route<SAFE>

703px-2009-04-06_1317 (1).png

Отображается сообщение "Safe Mode taken", а приглашение изменяется, чтобы показать, что сессия в безопасном режиме. Все изменения конфигурации, сделанные (в том числе из других сессий), в Safe Mode автоматически отменяются, если сессия завершается аварийно. Все такие изменения отмечены флагом F в системной истории:

[admin@MikroTik] /ip/route>
[Safe Mode taken]
[admin@MikroTik] /ip/route<SAFE> add
[admin@MikroTik] /ip/route<SAFE> /system/history/print
Flags: U, F - FLOATING-UNDO
Columns: ACTION, BY, POLICY
ACTION BY POLICY
F route 0.0.0.0/0 added admin write

Если соединение telnet или WinBox прерывается, через 9 минут (TCP таймаут) все изменения, сделанные в Safe Mode, будут отменены. Выход из сессии с [Ctrl]+[D] также отменяет все изменения режима, команда /quit — нет.

Если другой пользователь пытается войти в Safe Mode, он получает сообщение:

[admin@MikroTik] >
Hijacking Safe Mode from someone - unroll/release/don't take it [u/r/d]:

[u] - отменяет все изменения Safe Mode и переводит текущую сессию в Safe Mode [r] - сохраняет все текущие изменения и переводит текущую сессию в Safe Mode. Предыдущий владелец Safe Mode уведомляется:

[admin@MikroTik] ip firewall rule input [Safe mode released by another user]

[d] - оставляет всё как есть

Если сделано слишком много изменений и история не вмещает их (хранит до 100 последних действий), сессия автоматически выходит из Safe Mode, и изменения перестают отменяться. Лучше менять конфигурацию маленькими шагами. Нажатие [Ctrl]+[X] дважды очищает список действий Safe Mode.

Поскольку Safe Mode работает внутри сессии пользователя и хранит изменения конфигурации, он игнорируется для команд, требующих перезагрузки, таких как сброс конфигурации или восстановление из резервной копии.

HotLock Mode

При включении HotLock режима команды автодополняются.

Включение и отключение HotLock — клавиша F7.

[admin@MikroTik] /ip/address> [F7]
[admin@MikroTik] /ip/address>>

Двойной символ ">>" означает, что HotLock включён. Например, если ввести "/in et", это автозаполнится как:

[admin@MikroTik] /ip/address>> /interface/ethernet/
Lock Mode

Команда ":lock" блокирует экран.

[admin@MikroTik] > :lock
...
  MMM      MMM       KKK                          TTTTTTTTTTT      KKK
  MMMM    MMMM       KKK                          TTTTTTTTTTT      KKK
  MMM MMMM MMM  III  KKK  KKK  RRRRRR     OOOOOO      TTT     III  KKK  KKK
  MMM  MM  MMM  III  KKKKK     RRR  RRR  OOO  OOO     TTT     III  KKKKK
  MMM      MMM  III  KKK KKK   RRRRRR    OOO  OOO     TTT     III  KKK KKK
  MMM      MMM  III  KKK  KKK  RRR  RRR   OOOOOO      TTT     III  KKK  KKK
  
MikroTik RouterOS 7.16rc1 (c) 1999-2024 https://www.mikrotik.com/


Session is locked (Ctrl-D to Quit)

password for admin:

Кнопка сброса

Введение

Пароль RouterOS можно сбросить только переустановкой RouterOS или с помощью кнопки сброса (или джамперного разъёма) на устройствах RouterBOARD. Для устройств X86 (CHR) возможна только полная переустановка, которая стирает пароль вместе со всей конфигурацией. Для устройств RouterBOARD доступны несколько методов, зависящих от модели устройства.

Сброс из RouterOS

Если у вас ещё есть доступ к роутеру и вы хотите восстановить стандартную конфигурацию, вы можете:

Использование кнопки сброса

Устройства RouterBOARD оснащены кнопкой сброса, выполняющей несколько функций:

Загрузка резервного загрузчика RouterBOOT

Удерживайте кнопку перед включением питания и отпустите её спустя три секунды после включения, чтобы загрузить резервный загрузчик. Это может понадобиться, если устройство не работает из-за неудачного обновления RouterBOOT. После загрузки через резервный загрузчик можно либо включить *force backup loader* в настройках RouterBOARD, либо переустановить неудачное обновление RouterBOOT с помощью файла “.fwf” (всего 3 секунды).

Сброс конфигурации RouterOS

Удерживайте кнопку, пока не начнёт мигать светодиод, затем отпустите её для сброса конфигурации к стандартному состоянию.

Включение CAPs-режима

Чтобы подключить устройство к беспроводной сети, управляемой CAPsMAN, удерживайте кнопку ещё 5 секунд, светодиод загорится постоянно, после чего отпустите кнопку для включения CAPs-режима. Это можно сделать также с помощью команды "/system reset-configuration caps-mode=yes".

Запуск RouterBOARD в режиме Netinstall

Или удерживайте кнопку ещё 5 секунд, пока светодиод не погаснет, затем отпустите её — устройство будет искать серверы Netinstall. Можно просто удерживать кнопку, пока устройство не появится в программе Netinstall на Windows.

Можно выполнять все три функции без загрузки резервного загрузчика, просто нажмите кнопку сразу после включения питания. Возможно понадобится помощь второго человека, чтобы одновременно удерживать кнопку и подключать питание.

Как сбросить конфигурацию

  1. Отключите устройство от питания;
  2. Зажмите кнопку и включите питание;
  3. Удерживайте кнопку, пока не начнёт мигать светодиод;
  4. Отпустите кнопку для сброса конфигурации.

Если ждать пока светодиод перестанет мигать, а потом отпустить кнопку, вместо сброса запустится режим Netinstall для переустановки RouterOS.

262_hi_res.png

Сброс джампером

Некоторые старые модели RouterBOARD имеют джампер для сброса конфигурации. Для его доступа может потребоваться вскрытие корпуса — у моделей RB750/RB951/RB751 джампер расположен под одной из резиновых ножек.

Resethole.jpg

Закоротите джампер металлической отвёрткой и загрузите устройство до завершения сброса конфигурации.

Passw.jpg

Сброс джампером на старых моделях

На изображении ниже показано расположение джампера Reset на старых RouterBOARD, например RB133C:

CRW_5184.jpg

Не забудьте удалить джампер после сброса, иначе конфигурация будет сбрасываться при каждом перезагрузке.

WPS

Некоторые устройства имеют кнопку WPS или кнопку сброса с поддержкой WPS, позволяющую управлять доступом к беспроводной сети без входа в устройство, чтобы клиент мог подключаться без пароля. Специфические модели используют функцию синхронизации WPS для подключения друг к другу. Подробная информация по функциям WPS и кнопки сброса для каждой модели приведена в Руководствах пользователя.

Резервное копирование

Резюме

Функция резервного копирования в RouterOS позволяет клонировать конфигурацию роутера в бинарном формате, который затем можно применить на том же устройстве. Файл резервной копии содержит также MAC-адреса устройства, которые восстанавливаются при загрузке.

Рекомендуется восстанавливать резервную копию на той же версии RouterOS.

Если на роутере установлены службы Dude или User-manager, конфигурация этих сервисов не включается в системный бэкап, поэтому необходимо отдельно сохранять конфигурацию этих сервисов, используя доступные инструменты экспорта.

Системные бэкапы содержат чувствительную информацию об устройстве и его настройках, всегда учитывайте необходимость шифрования файла и храните его в безопасном месте.

Сохранение резервной копии

Подменю: /system backup save

СвойствоОписание
dont-encrypt (yes | no; по умолчанию no)Отключить шифрование файла резервной копии. Обратите внимание, что начиная с RouterOS v6.43 без указания пароля файл не шифруется.
encryption (aes-sha256 | rc4; по умолчанию aes-sha256)Алгоритм шифрования для файла резервной копии. Обратите внимание, что алгоритм RC4 считается устаревшим и поддерживается только для совместимости со старыми версиями RouterOS.
name (строка; по умолчанию [identity]-[date]-[time].backup)Имя файла резервной копии.
password (строка; по умолчанию пусто)Пароль для шифрования файла резервной копии. Если не указан в версиях RouterOS старше v6.43, то используется пароль текущего пользователя, кроме случаев, когда свойство dont-encrypt включено или пароль пользователя пустой.

Файл резервной копии появится в меню /file, его можно скачать через FTP или Winbox.

Загрузка резервной копии

Загрузка резервной копии без пароля:

[admin@MikroTik] > system/backup/load name=auto-before-reset.backup password=""
СвойствоОписание
name (строка; по умолчанию пусто)Имя файла резервной копии.
password (строка; по умолчанию пусто)Пароль для шифрованного файла резервной копии.
Пример

Сохранить конфигурацию роутера в файл test с паролем:

[admin@MikroTik] > /system backup save name=test password=<YOUR_PASSWORD>
Configuration backup saved
[admin@MikroTik] > /system backup

Посмотреть файлы, сохранённые на роутере:

[admin@MikroTik] > /file print
# NAME       TYPE    SIZE    CREATION-TIME
0 test.backup backup 12567   sep/08/2018 21:07:50
[admin@MikroTik] >

Загрузить сохранённый файл test:

[admin@MikroTik] > /system backup load name=test password=<YOUR_PASSWORD>
Restore and reboot? [y/N]: y
Restoring system configuration
System configuration restored, rebooting now
Резервное копирование в облако

Начиная с версии RouterOS v6.44, возможно безопасное хранение файла резервной копии устройства на облачных серверах MikroTik. Подробнее об этой функции — на странице IP/Cloud.

Netinstall

Введение

Netinstall — это инструмент для установки и переустановки устройств MikroTik с RouterOS. Всегда используйте Netinstall, если подозреваете, что устройство работает неправильно. Программа доступна для Windows (с графическим интерфейсом) и для Linux (командная строка).

Кратко, процедура Netinstall такова: подключите ПК напрямую к BOOT-порту устройства (обычно Ether1, с маркировкой BOOT или указанием в инструкции). Включите устройство, удерживая кнопку сброса, пока оно не появится в Netinstall.

Внимание. Netinstall форматирует системный диск, все файлы и конфигурация будут стерты. Netinstall не удаляет лицензионный ключ RouterOS и не сбрасывает настройки RouterBOOT, например, частоту CPU.

Инструкция для Windows

Инструкция для Linux

Версия для Linux — командная утилита с параметрами, аналогичными Windows-версии.

wget https://download.mikrotik.com/routeros/[VERSION]/netinstall-[VERSION].tar.gz
tar -xzf netinstall-[VERSION].tar.gz
sudo ./netinstall-cli [-parameters] [address/interface] routeros-arm64-[package VERSION].npk

Утилита требует прав root, запускайте с sudo.

Параметр Описание
-r При переустановке сбрасывает конфигурацию и применяет стандартную, если есть.
-e При переустановке сбрасывает устройство к пустой конфигурации.
-b Отказ от переустановки пакета брендинга, иначе переустанавливается вместе с RouterOS.
-m Включает переустановку нескольких устройств.
-o При использовании "-o" устройство может быть установлено только один раз за запуск netinstall. Устройства с тем же MAC игнорируются после первой установки.
-f Игнорировать ограничения по размеру. При превышении доступного места появляется ошибка.
-c Разрешить несколько экземпляров Netinstall на одном ПК.
-v Режим подробностей (verbose).
-k <keyfile> Передать устройство лицензионным ключом формата .KEY (опционально).
-s <userscript> Предварительная настройка устройства скриптом (.RSC), удаляя существующую конфигурацию. Скрипт может использовать заводские пароли из переменных $defconfPassword и $defconfWifiPassword (с версии 7.10beta8).
--mac <mac address> Указать MAC, которому разрешена установка. Другие запросы BOOTP игнорируются.
-i <interface> Задать интерфейс (опционально).
  Использует IP, который сервер Netinstall присвоит устройству — обязателен, может быть автоназначен при указании интерфейса.
PACKAGE Список пакетов формата RouterOS.NPK для установки (обязательно). Системный пакет должен быть первым.

Если не указан параметр -r или -e, netinstall-cli переустанавливает RouterOS, сохраняя конфигурацию, скачивая ее, форматируя диск и загружая обратно, аналогично опции "Keep old configuration" в Netinstall. Это касается только конфигурации, не затрагивая файлы, базы User Manager, Dude и прочие.

Сначала настройте IP на интерфейсе компьютера:

admin@ubuntu:~$ sudo ifconfig <interface> 192.168.88.2/24

Запуск Netinstall (пример с сбросом конфигурации):

admin@ubuntu:~$ sudo ./netinstall -r -a 192.168.88.3 routeros-mipsbe-6.48.1.npk
Using server IP: 192.168.88.2
Starting PXE server
Waiting for RouterBOARD...
PXE client: 01:23:45:67:89:10
Sending image: mips
Discovered RouterBOARD...
Formatting...
Sending package routeros-mipsbe-6.48.1.npk ...
Ready for reboot...
Sent reboot command

Пример запуска Netinstall версии 7 с применением пустой конфигурации и удалением брендинга:

admin@ubuntu:~$ sudo ./netinstall-cli -e -b -i enx1234567ee890 -a 192.168.88.3 routeros-7.14.2-arm.npk wireless-7.14.2-arm.npk
Version: 7.15beta9 (2024-03-27 20:41:15)
Will apply empty config
Will remove branding
Using Interface: enx1234567ee890
Wait for Link-UP on 'enx1234567ee890'. OK
Using Client IP: 192.168.88.3
Using Server IP: 192.168.88.10
Starting PXE server
Waiting for RouterBOARD...
client: 74:4D:28:8E:86:74
Detected client architecture: arm
Sending and starting Netinstall boot image ...
Installed branding package detected
Discovered RouterBOARD... 74:4D:28:8E:86:74
Formatting...
Sending package routeros-7.14.2-arm.npk ...
Sending package wireless-7.14.2-arm.npk ...
Sending empty config ...
Ready for reboot...
Sent reboot command

Etherboot

Режим Etherboot — специальное состояние устройства MikroTik, позволяющее переустановить устройство с помощью Netinstall. Существует два типа загрузчиков: обычный и резервный. Необходимо проверить оба.

Кнопка сброса

Кнопка Reset есть на всех устройствах MikroTik. Она позволяет включить Etherboot режим. Для этого выключите устройство, удерживайте Reset, включите устройство, продолжайте удерживать кнопку, пока оно не появится в окне Netinstall.

262_hi_res.png

Если установлен Protected bootloader, поведение кнопки сброса изменено, и без знания настроек его нельзя будет использовать для входа в Etherboot или сброса устройства.

RouterOS

Если устройство загружается и можно войти в систему, можно активировать Etherboot режим командой:

/system routerboard settings set boot-device=try-ethernet-once-then-nand

Затем перезагрузите устройство. При следующем запуске устройство попробует загрузиться в Etherboot режим. После первого запуска в Etherboot последующие — будут из памяти NAND или установленного носителя.

Последовательная консоль

Некоторые устройства имеют последовательный порт, с помощью которого можно войти в Etherboot режим. Настройте терминал с параметрами:

Используйте правильный null modem кабель (пин-аут указан в документации). Во время загрузки многократно нажимайте Ctrl+E, пока не увидите сообщение о попытке использования BOOTP протокола:

RouterBOOT booter 7.14.2 CRS328-4C-20S-4S+ CPU frequency: 800 MHz Memory size: 512 MiB Storage size: 16 MiB
Press Ctrl+E to enter etherboot mode
Press any key within 2 seconds to enter setup
trying bootp protocol.... OK
Got IP address: 192.168.88.3
resolved mac address 84:69:93:9E:E6:49
transfer started
...............................
transfer ok, time=2.00s

Теперь устройство в Etherboot режиме и появится в Netinstall.

Supout.rif

Что такое файл supout.rif?

Файл поддержки (support file) используется для отладки MikroTik RouterOS и ускорения решения вопросов поддержки. Вся информация о MikroTik роутере сохраняется в бинарном файле, который хранится в роутере и может быть скачан с помощью FTP или WinBox. Если необходимо, файл можно сгенерировать в папке "/flash" на устройствах с памятью типа FLASH или на внешнем накопителе, указав полный путь к файлу "name=flash/supout.rif". Содержимое файла можно просмотреть в вашем аккаунте MikroTik через "Supout.rif viewer" в левой колонке, загрузив файл.

Файл содержит всю конфигурацию роутера, логи и другую информацию, которая поможет службе поддержки MikroTik решить вашу проблему. В нем нет чувствительной информации или паролей роутера]

Создание файла поддержки (Support Output)

Winbox

Для генерации файла в Winbox нажмите "Make Supout.rif". Чтобы сохранить файл на компьютер, кликните по нему правой кнопкой мыши и выберите "Download", либо просто перетащите файл на рабочий стол

makesupout.PNG

Консоль

Для генерации файла введите в командной строке:

/system sup-output name=supout.rif

Если вывод в supout viewer слишком узкий, можно сгенерировать файл заново с указанием ширины вывода вручную с помощью параметра output-width:

/system sup-output name=supout.rif output-width=300

Обновление до версии 7

Введение

В этом документе описаны рекомендованные шаги для обновления RouterOS до основного релиза версии 7 и возможные нюансы при этом.

Переход с версии 6 на 7 происходит так же, как и обновление внутри серии 6. Пожалуйста, следуйте руководству по обновлению для более детальных шагов. Если у вас версия RouterOS 6 или ниже, сначала рекомендуем обновиться до последнего стабильного или long-term релиза версии 6.

Обратите внимание, что в вашей версии RouterOS 6.x последней будет отображаться версия 7.12.1. Сначала нужно обновиться до неё, затем уже станут доступны более новые обновления.

В большинстве конфигураций с версиями 6 этих обновлений достаточно, и никаких дополнительных действий не требуется. Обновление до версии 7 автоматически конвертирует конфигурацию, и устройство сразу будет работать.

Примечание: мы не рекомендуем использовать версию 7 на оборудовании с меньшим чем 64 МБ оперативной памяти.

Список совместимых функций

ФункцияСтатус
CAPsMANOK
ИнтерфейсыOK
Беспроводные сетиOK
Мосты/коммутаторыOK
Туннели/PPPOK
IPv6OK
BGPOK, но требуется внимание *
OSPFOK, но требуется внимание **
MPLSOK, но требуется внимание ***
Фильтры маршрутизацииOK, но требуется внимание ****
PIM-SMСмотрите комментарии
IGMP ProxyOK
ИнструментыOK
ОчередиOK
ФаерволOK
HotSpotOK
Статическая маршрутизацияOK
User ManagerСмотрите комментарии

Комментарии

Обновление конфигурации маршрутизатора происходит один раз. Если роутер был понижен до ROSv6, изменена конфигурация и затем обновлён обратно до ROSv7, итоговая конфигурация будет такой же, как и перед понижением. Для повторного запуска конвертации конфигурации v6 в v7 загрузите бэкап ROSv6 с опцией force-v6-to-v7-configuration-upgrade=yes.

BGP

Все известные конфигурации успешно обновляются с 6.x на 7.x, но учтите полную переработку конфигурации. В v7 BGP появились меню connection и template. Меню session содержит все опции протокола, может использоваться как шаблон для динамических пиров и групповых настроек.

Параметры похожи на старую реализацию, но сгруппированы по входящим и исходящим направлениям, что упрощает понимание.

Минимальный набор параметров шаблона BGP: remote.address, template, connect, listen и local.role.

Параметры connect и listen указывают, будет ли пир подключаться к удалённому адресу, слушать подключение, или только одно из них. Если используется multi-hop, надо настраивать local.address. Параметр роли пира теперь обязательный, для базовых установок можно использовать ibgp или ebgp.

Теперь возможно мониторить статус всех пиров в меню /routing bgp session. Подробную отладочную информацию можно смотреть в /routing stats.

Сети добавляются в адрес-лист фаервола и используются в BGP-конфигурации.

OSPF

Все известные конфигурации успешно обновляются с 6.x на 7.x.

OSPFv2 и OSPFv3 объединены в меню /routing ospf. На данный момент по умолчанию отсутствуют инстансы и области. Чтобы запустить OSPF, создайте инстанс и добавьте в него область.

ROSv7 применяет шаблоны для сопоставления интерфейсов и применения конфигурации. В меню interface и neighbor доступны только для чтения записи статуса.

MPLS

Обновляйте MPLS-настройки с осторожностью и обязательно делайте резервную копию перед обновлением.

Фильтры маршрутизации

Все поддерживаемые опции обновляются без проблем, при неподдерживаемых создаются пустые записи. Конфигурация фильтров маршрутизации становится скриптовой с конструкцией if..then.

Несколько правил без действия объединяются и выполняются последовательно, как в фаерволе, порядок операций важен для понимания, что и где применено.

Примеры новых фильтров доступны здесь.

PIM-SM

При обновлении до v7 конфигурация, связанная с PIM, не сохраняется. После обновления мультикаст маршрутизация настраивается в меню /routing pimsm, дополнительный пакет "multicast" не нужен. Подробнее здесь.

User Manager

В RouterOSv7 реализован новый User Manager, конфигурация интегрирована в WinBox и консоль (нет WEB-интерфейса). Прямая миграция со старых версий невозможна, возможен импорт базы из /user-manager/database/migrate-legacy-db, но рекомендуется начинать конфигурацию с нуля.

Новые возможности

Убрана поддержка