хочу рассмотреть здесь оснвоные команды в Mikrotik, которые можно открыть также и через винбокс.

WinBox -это графический интерфейс для настройки MikroTik, который позволяет работать с устройствами под управлением RouterOS. Я свой hap ac2 обновил до 7 версии и мне теперь капец не хватает памяти. Справедливости ради, он у меня уже 7 лет, хотя многие жалуются, что это неудачная их модель, за счет процессора + шифрования и отсутствия нормальной вентиляции. Да он греется, но тем не менее, работает стабильно. Просто обновил до свежей версии. Ну да ладно, это так - лирика.

Итак Winbox. Не смотря на то, что это по сути программа, любое действие по сути копирует команду из terminal внутри.

Кстати, выпустили новую версию 4 в стадии бета, более гламурную и десктопную, интересно, кому нравится и кто пользуется? 

Было:

 

Стало:

 

Кстати, вы когда читаете Микротик - на какую гласную ставите ударение?

Важно понимать - это не инструкция по настройке Mikrotik. Дело в том, что это профессиональное оборудование и если настраивать вручную нужно знать тонкость  всех основных настроек. Я лишь приведу пример всего, даже последовательность должна быть другая. Важно знать про две главных опции. 1. Safe Mode -  нажав на него, все измнения не сохраняются, пока не отожмете. Это супер крутая фича, которая позволит проводить эксперименты, не боясь потерять работу (как микротика, так и ваше). 2. QuickSet - быстрая базовая настройка рекомендуемых параметров, например для домашнего использования.

Итак перечислю все разделы в WinBOX:

1. Quick Set - как я уже и говорил, позволяет за несколько кликов настроить базовые параметры: WAN, LAN, NAT, Wi-Fi, DHCP, IP-адреса. Удобно для новичков, но не даёт гибкости продвинутым пользователям. 
2. Wifi - Настройка беспроводных сетей через новое Wi-Fi API, поддерживает Wi-Fi Wave 2, каналы 2.4/5 ГГц, режимы AP и клиент, управление мощностью сигнала, защита WPA3.
3. Wireless- Классическая настройка Wi-Fi, содержит подразделы:
   • CapsMan (Controlled Access Point System Manager) -  Позволяет централизованно управлять несколькими точками доступа MikroTik. Работает как контроллер Wi-Fi. 
   • Wireless -  Ручная настройка параметров беспроводных интерфейсов: частота, мощность, SSID, режим работы, шифрование. 
4. Interfaces - Список всех сетевых интерфейсов. Здесь можно управлять Ethernet, Wi-Fi, VLAN, WireGuard, LTE, L2TP, PPPoE и другими интерфейсами.
5. WireGuard - оздание и управление туннельными подключениями по протоколу WireGuard.
6. Bridge - Объединение нескольких интерфейсов в один логический сегмент сети. Позволяет делать программные коммутаторы, например, для объединения Wi-Fi и Ethernet в один LAN. 
7. PPP -  Настройка протоколов PPPoE, PPTP, SSTP, L2TP. Используется для работы с VPN, подключения к провайдерам и организации туннелей. 
8. Switch -  Аппаратное ускорение и управление режимом коммутации. Или управление как коммутатором. Содержит подразделы: 
   • Host - список MAC-адресов, подключенных к свитчу.
   • Port Isolation - список изоляции портов (не знаю как правльно написать, там будет типа какой порт к какому свитчу и куда).
   • Rule - управление правилами коммутатора.
   • Settings - глобальные настройки свитча.
   • VLAN - настройка VLAN.
9. Mesh -  Настройка беспроводной бесшовной сети Mesh. Позволяет соединять несколько точек доступа в единую беспроводную сеть. Обожаю Mesh сети, на самом деле. даже есть материал про это, но на основе Keenetic (не рекомендую читать). 
10. IP - Основной раздел для работы с IP-сетями и основные сетевые настройки. Содержит подразделы: 
    • ARP - Address Resolution Protocol - таблица сопоставления IP- и MAC-адресов, с названиями устройств в локальной сети. Можно добавлять статические записи (чтобы избежать ARP-спуфинга).
    • Addresses — настройка IP-адресов на интерфейсах. он же Adress List. Провайдерское появится автоматически с буквой D, а для локалной сети нужно добавлять вручную и обязательно с маской (префиксом) в конце, например /24 (или любой другой). 
    • Cloud - DynDNS от MikroTik. Динамический DNS для доступа к роутеру из интернета (если у провайдера нет белого IP). Кстати для android у них есть приложения Back To Home для автоматизации этой настройки и доступа с телефона в вашу сеть.
    • DHCP Client — получение IP-адреса от DHCP-сервера. Например от вашего интернет-провайдера. Здесь также можно убрать Use Peer DNS, если не хотите использовать провайдерский DNS сервер, а использовать свой или публичный (например или от яндекса, или от гугла, или l9 и т.д. Они указываются в разделе DNS. Это важно, если хотите настроить DoH). Ну и можно не добавлять как шлюз по умолчанию Add Default Route.
    • DHCP Relay - пересылка DHCP-запросов в другую подсеть,  например, если DHCP-сервер находится в другой VLAN 
    • DHCP Server - Как видно из названия, настройка своего локального DHCP сервера. Тут же и лист разданных IP-адресов клиентам (чтобы увидеть какое устройство с каким адресом в сети).
    • DNS - Установка и настройка DNS-клиента и сервера. Здесь же и настраивается DoH, если вообще нужен. Или указываются публичные адреса и чистится кеш (тот самый flushdns)
    • Firewall - управление фильтрацией, безопасностью и NAT. Очень важный раздел, о нем будет ниже. Основные цепочки: Filter - блокировка/разрешение трафика, NAT -  трансляция адресов (Masquerade для выхода в интернет), Mangle -  маркировка пакетов.
    • Hotspot - настройка и создание публичного сервера Wi-Fi с авторизацией. Там даже как-то и монетизацию вроде бы можно настроить и учет траффика.
    • IPsec - настройка туннеля через IPsec. Создание зашифрованных туннелей между сетями, например чтобы объединить несколько зданий в одну сеть.
    • Kid Control - родительский контроль, ну или общий контроль или ограничения типа по времени.
    • Media - протокол UPnP/DLNA, можно создавать дружеские имена алиасы для таких устройств. Автоматический проброс портов для медиаустройств (Smart TV, IP-камеры).
    • NAT PMP - автоматическая настройка портов NAT. Автоматическое пробрасывание портов для клиентов NAT-PMP (например, macOS).
    • Neighbors — поиск и обнаружение соседних устройств MikroTik в сети.
    • Packing — сжатие трафика.  Уменьшение объёма данных для медленных каналов.
    • Pool - управление пулами IP-адресов.Особенно полезно для vlan, или гостевых wifi. 
    • Routes - таблица маршрутизации, где можно настроить определенные блокировки или посмотреть динамически добавленные.
    • SMB - включает и настраивает в сети встроенный файловый сервер (Samba).
    • SNMP - мониторинг роутера через SNMP, типа тот же заббикс.
    • SSH - настройка SSH-доступа. Мое мнение, что ssh доступ лучше вообще отключить или сменить порты. А в winbox входить по mac-адресу устройства, с запретом  поиска устройства в сети через соседей.
    • Services - управление сервисами (Telnet, FTP, WWW и др.), можно и нужно отключить лишние.
    • Settings - общие IP-настройки. Например Max TCP Connections - лимит сессий или Allow Ping - разрешить ICMP-запросы.
    • Socks - прокси-сервер SOCKS5. 
    • TFTP - загрузка или выгрузка конфигураций по сети.
    • Traffic Flow - настройка мониторинга трафика.
    • UPnP - автоматическое проброс портов для устройств UPnP.
    • VRF - виртуальные маршрутизируемые сети. Создание изолированных таблиц маршрутизации. 
    • Web Proxy - встроенный кэширующий HTTP-прокси.
11. IPv6 -  Все настройки аналогичны IP, но для IPv6. Подразделы есть, описывать нет смысла.
12. MPLS (Multiprotocol Label Switching)  - Настройка маршрутизации на основе MPLS, технология высокоскоростной маршрутизации в сетях передачи данных, которая использует метки (labels) вместо классической IP-маршрутизации. Часто используется в провайдерских сетях. Подразделы:
    • MPLS - основные настройки, включая LDP (Label Distribution Protocol) - протокол для автоматического распространения меток.
    • Settings - общие параметры MPLS
    • Traffic Eng - нет, не английский траффик, а Traffic Engineering - управление нагрузкой на каналы, настройка явных путей, использование RSVP-TE
    • VPLS - Virtual Private LAN Service, технология для создания виртуальных LAN поверх MPLS. Эмулирует работу Ethernet-коммутатора между удалёнными точками. Может использоваться для объединения филиалов в одну локальную сеть.
13. Routing - Основной раздел для настройки статической и динамической маршрутизации, а также управления протоколами маршрутеризации. Поддерживаются несколько протоколов, каждый из которых используется в разных сценариях. Подразделы соответствующие: 
    • BFD -  механизм быстрой проверки доступности соседних маршрутизаторов. Позволяет быстро обнаруживать разрывы соединения, что критично для BGP и OSPF. Например если линк упал, BFD сообщает OSPF/BGP быстрее, чем стандартные таймеры 
    • BGP - Border Gateway Protocol.   основной протокол маршрутизации между автономными системами (AS) в интернете. Используется провайдерами для обмена маршрутами 
    • RIP - Routing Information Protocol.  старый или устаревший уже протокол маршрутизации, работающий на основе расстояний (метрика hop count) максимум 15 хопов. Сейчас используется редко , так как хуже масштабируется, чем OSPF или EIGRP. . 
    • Filters - набор правил для управления или фильтрацией маршрутизации (например, фильтрация анонсов в BGP или OSPF). Или вот например блокировка "мусорных" префиксов из интернета.
    • GMP (Group Management Protocol) - управление групповыми IP-мультикастами. Используется для IP-TV, видеоконференций.
    • IGMP Proxy (Internet Group Management Protocol Proxy) - передача мультимедийного трафика между разными сегментами сети (например, IPTV из одного VLAN в другой).
    • Nexthops - таблица следующего узла маршрутизации, хранит информацию о резервных маршрутах (например, через ECMP), помогает строить резервные маршруты.
    • OSPF (Open Shortest Path First) - динамический протокол маршрутизации, основанный на состоянии связей и алгоритме Дейкстры. Широко используется в корпоративных сетях.
    • PIM SM (Protocol Independent Multicast Sparse Mode) - протокол маршрутизации для работы с мультимедийными потоками в больших сетях и для эффективной маршрутизации мультикаста.
    • RPKI (Resource Public Key Infrastructure) - механизм безопасности маршрутизации, позволяющий предотвращать перехват маршрутов (BGP hijacking).
    • Routes ID - идентификатор маршрута в системе. Включая динамические правила.
    • Rules - правила обработки маршрутов, например, политика маршрутизации. Типа весь VoIP-трафик пускать через туннель или локальные пользователи - один ISP, гости - другой ISP.
    • Settings - глобальные настройки маршрутизации. Правда у меня только одна галочка Single Process - если включено, все протоколы маршрутизации (BGP, OSPF и др.) работают в одном процесс. Вроде как уменьшает нагрузку на процессор, но есть и минусы. 
    • Tables - названия таблиц маршрутизации, включая FIB (таблица для быстрого поиска маршрутов), название потом используется в других разделах.
14. System - Общие основные настройки системы. Включают
    • Certificates — управление сертификатами. часто нужны для создания туннелей или того же DoH.
    • Clock — настройка времени, даты, временной зоны.
    • Console — терминал, а точнее настройки доступа к нему. Например можно ограничить таймауты сессии, изменить приветственное сообщение.
    • License — информация о лицензии.
    • Logging — журнал событий. Настройка логов системы (куда сохранять, какие события записывать).Даже можно отправлять логи на удалённый сервер (action -> remote).
    • NTP Client/Server — синхронизация времени, настройка как клиента так и сервера.
    • Password — смена пароля.
    • Reboot/Shutdown — перезагрузка и выключение.
    • Users — управление пользователями. Можно настроить ограничения по IP/MAC-адресу и менять права доступа.
    • Disks — управление внутренними и внешними накопителями (например, USB-диски, SD-карты).
    • History — журнал истории действий (всех выполненных команд) и изменений на устройстве.
    • Identity — задание имени роутера (отображается в WinBox и терминале).
    • LEDs — настройка поведения светодиодов на корпусе устройства (например, индикация активности, по простому мигание, например при wifi).
    • Note — поле для добавления заметок о конфигурации устройства.
    • Packages — управление установленными пакетами RouterOS (например, обновления и удаление ненужных модулей).
    • Ports — настройка последовательных (serial) портов, если они есть.
    • Reset Configuration — сброс устройства до заводских настроек с разными опциями, типа сохранить пользователей.
    • Resources — отображение информации о загрузке процессора, памяти, использования дисков и других системных параметров (мониторинг CPU, RAM, диска, температуры).
    • RouterBOARD — информация о модели устройства, версии загрузчика, аппаратных характеристиках. Обновления здесь же (обновляется сама прошивка RouterBoard, пакеты обновляются ранее в Packages).
    • Scheduler — планировщик задач, позволяющий автоматически запускать скрипты в определенное время. Ну типа cron. 
    • Scripts — раздел для написания и хранения скриптов, автоматизирующих работу роутера на языке RouterOS. .
    • Special login — специальные методы входа (например, только с определенного MAC-адреса в WinBox).
    • Watchdog — механизм автоматического перезапуска устройства при зависании или потере связи.
15. Queues - Управление приоритетами трафика (QoS).
16. Files - Файловый менеджер.
17. Log - Журнал событий роутера.
18. RADIUS - Настройка аутентификации через RADIUS-сервер. Remote Authentication Dial-In User Service - это протокол для централизованной аутентификации, авторизации и учёта (AAA). Основные функции в MikroTik: Аутентификация пользователей HotSpot (гостевой Wi-Fi), PPP (PPPoE, L2TP), Доступа к роутеру (SSH, WinBox). Авторизация. Учет трафика, RADIUS Clients, RADIUS Servers
19. Tools - Инструменты диагностики и тестирования.
    • Bandwidth Test - тест пропускной способности. Измеряет скорость UDP/TCP-трафика.
    • Graphing - мониторинг трафика. Графики трафика по интерфейсам/правилам.
    • Ping, Traceroute — диагностика сети проверка доступности и определение пути до узла - но вы это итак знаете), причем можно устанавливать лимиты или без них по количеству шагов. 
    • Torch - анализатор трафика в реальном времени. Показывает источники, получатели, порты, протоколы.
    • Traffic Generator - генератор тестового трафика.
    • BTest Server (Bandwidth Test Server) - тестирование пропускной способности соединения между устройствами MikroTik. Серверная часть для Bandwidth Test.
    • Email - встроенный почтовый клиент, используемый для отправки уведомлений и отчетов.
    • Flood Ping - стресс-тест соединения с высокой частотой пингов для выявления потерь пакетов.
    • IP Scan - сканирование сети на предмет активных IP-устройств.
    • MAC Server - настройка MAC-доступа к устройству (например, вход в WinBox по MAC-адресу).
    • Netwatch - мониторинг доступности удаленных хостов и выполнение действий при изменении статуса (например, переключение на резервный канал).
    • Packet Sniffer - перехват и анализ сетевого трафика (аналог Wireshark). Позволяет отслеживать пакеты, проходящие через роутер.
    • Ping Speed - измерение задержек между двумя точками сети.
    • Profile - анализ загрузки процессора по процессам RouterOS.
    • RoMON (Router Management Overlay Network) — технология MikroTik для удаленного управления устройствами через промежуточные узлы. Работает даже без прямого IP-доступа.
    • SMS - отправка и получение SMS-сообщений на устройствах с LTE-модемом. Вроде как можно также управлять с помощью SMS, например перезагрузить устройство.
    • Speed Test - измерение скорости соединения между роутером и клиентом.
    • Telnet - встроенный клиент Telnet для подключения к удаленным устройствам.
    • Traffic Monitor - отслеживание трафика по интерфейсам и правилам.
    • WoL (Wake on LAN) - удаленное включение устройств по сети. Требуется поддержка WoL на целевом устройстве.
20. New Terminal - Доступ к командной строке RouterOS.
21. IoT -  Поддержка интернета вещей, или умного дома, или IoT-протоколов (и в нем Bluetooth, LoRa, MQTT, Modbus)  интеграция с IoT-устройствами. 
22. Dot1X - Аутентификация по 802.1X.
23. Partition - Работа с разделами флеш-памяти устройства.
24. Make Supoute.rif - Создание диагностического файла для техподдержки MikroTik.

Важно понимать, что любой раздел в WinBOX можно вызвать командой в терминале. Это очень удобно, так как когда вы видете в интернете команду для настройки, ее очень легко визуализировать. Первый пункт после / - это раздел, далее по сути вкладка и опция.  Вот например

Вывод списока всех интерфейсов:

Команда в терминале

/interface print

В WinBox: Interfaces

Изменение настроек интерфейса:

Команда set название интерфейса и что необходимо. Например переименовать

/interface ethernet set ether1 name=WAN

В WinBox: Interfaces -> двойной клик по интерфейсу

Настройка IP-адресов

Вывод всех адресов

Команда

/ip address print

В WinBox: IP -> Addresses

Добавить адреса:

Например, добавим адреса для бриджа. Командой:

/ip address add address=192.168.88.1/24 interface=bridge1

В WinBox: IP -> Addresses -> +

DHCP-сервер

Вывод всех настроенных DHCP-серверов

/ip dhcp-server print

В WinBox: IP -> DHCP Server

Создание DHCP-сервера

Команда:

/ip dhcp-server setup

В WinBox: IP -> DHCP Server -> Setup

Настройка маршрутизации

Просмотр маршрутов

Команда:

/ip route print

В WinBox: IP -> Routes

Добавление маршрута:

команда

/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1

В WinBox: IP -> Routes -> "+" (Dst. Address: 0.0.0.0/0, Gateway: 192.168.1.1)

Мониторинг

Просмотр трафика в реальном времени

Команда:

/tool torch interface=ether1

В WinBox: Tools -> Torch

Проверка пинга

ping 8.8.8.8

В WinBox: Tools -> Ping

Bandwidth Test (тест пропускной способности)

/tool bandwidth-test address=192.168.1.2 direction=send duration=10s

В WinBox: Tools -> Bandwidth Test

Настройка Firewall

текущие правила

/ip firewall filter print

В WinBox: IP -> Firewall -> Filter Rules

Добавление правил, НАПРИМЕР! 

/ip firewall filter add chain=input action=drop in-interface=WAN

В WinBox: IP -> Firewall -> Filter Rules -> "+" (Chain: input, Action: drop, In-Interface: WAN)

ВНИМАНИЕ!!! Фаерволл одно из самых важных в настройке микротика. Существует два основных правила - запрещено все, что не разрешено. И разрешено все, что не запрещено. Настраивая фаерволл, вы должны придерживаться одному из правил. Кроме того, существуют такие вещи как forward, различные маркировки пакетов, создание списка блокировок и прочее прочее, которые я сам, если честно, многое не знаю. По правильной настройке лучше прочесть более продвинутые и специализированные ресурсы в интернете. Если вы запустите quick настройку, то микротик сам настроит основные правила.

Настройка NAT

Включает NAT для выхода в интернет

/ip firewall nat add chain=srcnat action=masquerade out-interface=WAN

В WinBox: IP -> Firewall -> NAT _ "+" (Chain: srcnat, Action: Masquerade)

Хотя опять же, Грамотная конфигурация раздела Firewall позволяет защитить сеть от атак, контролировать доступ к ресурсам, предотвращать DDoS и ограничивать нежелательный трафик. 

В Firewall можно:

• Фильтровать трафик по различным параметрам (IP-адрес, порт, протокол, Layer7-правила и т. д.).

• Блокировать или разрешать доступ к устройству, сети или интернету.

• Защищаться от атак (DDoS, порт-сканирования, перебора паролей).

• Маркировать пакеты и маршруты для управления QoS и балансировкой нагрузки.

• Использовать адресные листы для управления группами IP-адресов.

• Настраивать NAT (проброс портов, маскарадинг).

• Применять RAW-фильтрацию для снижения нагрузки на CPU.

Основные вкладки в Firewall:

Filter Rules (Фильтрация трафика)

Здесь создаются правила для блокировки или разрешения трафика.

Можно настроить:

• Блокировку вредоносных пакетов.
• Ограничение доступа к самому роутеру (SSH, FTP, WinBox).
• Защиту от DDoS-атак и флудеров.
• Контроль доступа к интернету для пользователей.

Основные цепочки (Chains)

• Input — трафик к самому роутеру (SSH, WinBox, Ping).
• Output — трафик от роутера (например, запросы к DNS).
• Forward — трафик через роутер (между LAN и WAN).

NAT (Преобразование сетевых адресов)

Этот раздел позволяет:

• Настроить маскарадинг (Masquerade) для выхода в интернет.
• Пробрасывать порты (Port Forwarding) для доступа к внутренним сервисам.
• и многое другое

Mangle (Маркировка пакетов и маршрутов)

Здесь происходит:

• Маркировка трафика для QoS (приоритизация VoIP, видеозвонков и т. д.).
  
• Балансировка нагрузки между несколькими интернет-каналами.
  
• Ускорение трафика через FastTrack (ускоренный роутинг).

RAW (Обработка пакетов до основного Firewall) - Предварительная фильтрация

RAW-правила позволяют:

• Блокировать нежелательный трафик до обработки в других цепочках (уменьшает нагрузку на CPU).
• Отключать неиспользуемые сервисы (Telnet, FTP и т. д.).

Address Lists (Списки адресов)

Позволяет создавать группы IP-адресов для удобного управления:

• Списки доверенных или заблокированных IP.
• Блокировка ботов, хакеров и стран с нежелательным трафиком.
• Динамическое добавление IP в черный список (например, после 10 неудачных попыток входа).

Layer7 Protocol (Глубокая проверка пакетов)

Этот механизм анализирует содержимое пакетов и позволяет:

• Блокировать торрент-клиенты, анонимайзеры.
  
• Ограничивать доступ к определенным сайтам без использования прокси.
  
• Фильтровать рекламу, отслеживать определенные запросы.

И небольшие советы по безопасности в MikroTik

Отключайте ненужные сервисы:

• Выключите Telnet, FTP, API, www (Web-интерфейс), если они не используются.
  
• SSH оставьте только при необходимости (и ограничьте доступ по IP).
  
• Используйте WinBox только из доверенной сети.

Смените стандартный логин и пароль:

• Удалите пользователя admin.
  
• Создайте нового пользователя с уникальным именем и сложным паролем.

Настройте Firewall на защиту роутера:

• Разрешайте доступ только с доверенных IP.
  
• Отключите ARP-ответы на WAN-интерфейсе (чтобы скрыть роутер).
  
• Ограничьте количество подключений для защиты от DDoS.

Обновляйте RouterOS MikroTik часто выпускает исправления безопасности.

 MikroTik – мощный инструмент, но требует грамотной настройки. Если все сделать правильно, можно получить надежную, защищенную и быструю сеть

И не забывайте делать копии конфигурации и безопасный режим