MTCNA Mikrotik Ru Rev2022 01

Certified Network Associate
(MTCNA)
19 августа, 2022
Киев, Украина
+38 097 364 96 43

О тренере
Меня зовут Vadim Scornici

Живу в Кишинев
Опыт работы в IT 32 года
Узнал о Mikrotik от в 1999 г.
Опыт работы с MikroTik с 2012
2 +38 097 364 96 43

Представьтесь
• Ваше имя и компания
• Ваша оценка Ваших знаний сети
• Ваша оценка Ваших знаний RouterOS
• Ваши ожидания от курса
• Ваш номер на протяжении всего курса (XY): ___
3 +38 097 364 96 43

Цель курса
• Рассмотреть операционную системе RouterOS и
продукты RouterBOARD
• Практическое обучение настройке маршрутизатора

MikroTik, обслуживанию и устранению основных
неисправностей
4 +38 097 364 96 43

Что Вы получите
Студент сможет:
 Настраивать, управлять и выполнять базовое
устранение неполадок устройства MikroTik RouterOS
 Предоставлять клиентам базовые услуги
 Иметь прочную основу и важные инструменты для
управления сетью
5 +38 097 364 96 43

Сертифицированные курсы MikroTik
mikrotik.com/training/about
6 +38 097 364 96 43
Программа MTCNA
• Модуль 1: Введение
• Модуль 2: DHCP
• Модуль 3: Bridging
• Модуль 4: Routing
• Модуль 5: Wireless
• Модуль 6: Firewall
7 +38 097 364 96 43

MTCNA Outline
• Модуль 7: QoS
• Модуль 8: Tunnels
• Модуль 9: Misc
• Каждый модуль сопровождается
практикой
8 +38 097 364 96 43

Расписание
• Время тренинга: 9.00 – 18.00
• 30 минут кофе-брейк: 11.30 и 15.30
• 1 час обеда: 13.00
• Экзамен - 1 час
9 +38 097 364 96 43

Во время курса
• Туалет
• Еда, напитки и место обеда
• Правила поведения во время курса
10 +38 097 364 96 43

(MTCNA)
Модуль 1
Введение
11 +38 097 364 96 43

О MikroTik
• Производитель софта и аппаратных решений
• Продукты, используемые провайдерами
Internet, компаниями и частными лицами
• Миссия: сделать интернет технологии быстрее,
более мощными и удобными для широкого
круга пользователей
12 +38 097 364 96 43

О MikroTik
• 1996: Дата основания
• 1997: Первая версия RouterOS для x86 (PC)
• 2002: Первое устройство RouterBOARD
• 2006: Первый MikroTik User Meeting (MUM)
• Прага, Чехия
• 2018: Крупнейший MUM: Индонезия, 3700+
13 +38 097 364 96 43

О MikroTik
• Расположена в Латвии
• mikrotik.com
14 +38 097 364 96 43

MikroTik RouterOS
• Это операционная система оборудования MikroTik
RouterBOARD
• Также может быть установлена на ПК или как
виртуальная машина (ВМ)
• Cloud Hosted Router
• Автономная операционная система на основе ядра
Linux
15 +38 097 364 96 43

Особенности RouterOS
• Полная поддержка 802.11 a/b/g/n/ac
• Поддержка LTE, 60GHz wireless
• Firewall/bandwidth shaping
• Point-to-Point туннели (PPPoE, SSTP, PPTP, OpenVPN,
L2TP+IPsec)
• DHCP, Hotspot, User Manager (RADIUS)
• И многое другое на wiki.mikrotik.com
16 +38 097 364 96 43
MikroTik RouterBOARD
• Семейство аппаратных решений от MikroTik под
управлением RouterOS.
• От небольших домашних маршрутизаторов до

концентраторов доступа операторского класса
17 +38 097 364 96 43

Ethernet роутеры Wireless для дома и офиса
Wireless
Switches 18 +38 097 364 96 43

Первичный доступ
• Null modem кабель
• Ethernet кабель
• WiFi
Ethernet
Null Modem кабель
кабель WiFi
19 +38 097 364 96 43

First Time Access
• WinBox -
www.mikrotik.com/download/winbox.exe
• WebFig
• SSH
• Telnet
• Terminal emulator в случае подключения
по серийному порту (RS232)
20 +38 097 364 96 43

WinBox
• IP адрес по умолчанию (кроме Ether1): 192.168.88.1
• User: admin, Password: (пустой)
21 +38 097 364 96 43

MAC WinBox
• Подключитесь при помощи WinBox по IP-адресу:
пронаблюдайте заголовок WinBox
• Подключитесь к роутеру по MAC адресу
• Пронаблюдайте заголовок WinBox
22 +38 097 364 96 43

MAC WinBox
• Отключите IP на интерфейсе Bridge
• Попробуйте зайти на роутер по IP адресу (не получится)
• Попробуйте зайти на роутер используя MAC WinBox
(получится)
23 +38 097 364 96 43

MAC WinBox
• Включите IP-адрес на интерфейсе bridge
• Попробуйте зайти на роутер по IP адресу
24 +38 097 364 96 43

WebFig
• Browser - http://192.168.88.1
25 +38 097 364 96 43

Quick Set
• Базовая настройка роутера в одном окне
• Доступен как из WinBox, так и из WebFig
• Более подробно описано в курсе «Введение в MikroTik

RouterOS и RouterBOARDs».
26 +38 097 364 96 43

Quick Set
27 +38 097 364 96 43

Default Configuration
(конфигурация по умолчанию)
• Есть разные конфигурации по умолчанию
• Детально на default configuration wiki page
• Например: SOHO routers - DHCP клиент на Ether1, DHCP
server на остальных портах + WiFi
• Конфигурацию можно сбросить и использовать
«пустые» настройки
28 +38 097 364 96 43

Command Line Interface (CLI)
• Доступен из SSH, Telnet или ‘New Terminal’ в WinBox и WebFig
29 +38 097 364 96 43

Command Line Interface
<tab> - завершение команды.
Пример: bac+tab = backup
<tab><tab> - показывает доступные команды
<?> - подсказки
<↑>, <↓> - просмотр «истории» команд
<..> - возврат в предыдущее меню
30 +38 097 364 96 43

Command Line Interface
• Иерархическая система (аналогична меню WinBox)
• Детально на console wiki page
In WinBox: Interfaces menu

31 +38 097 364 96 43
Доступ к Internet
AP класса
Ваш РС Ваш роутер
192.168.88.1
32 +38 097 364 96 43

PC - Роутер
• Подключите ноутбук к роутеру кабелем в любой из LAN-
портов (2-5).
• Отключите другие интерфейсы (беспроводные) на
вашем РС
• Убедитесь, что интерфейс Ethernet РС настроен на
автоматическое получение IP-конфигурации (через
DHCP).
33 +38 097 364 96 43

Роутер - Internet
• Доступ к Internet в классе будет через WiFi – именуется
(AP класса)
AP класса
192.168.88.1
34 +38 097 364 96 43
• Для подключения к AP необходимо:
• Удалить wireless interface из интерфейса Bridge (это
настройки конфигурации по умолчанию)
• Настроить DHCP client на беспроводном интерфейсе
35 +38 097 364 96 43

• Для подключения к AP необходимо:
• Создасть и сконфигурировать беспроводной security
profile
• Установить беспроводной интерфейс в режим : station
mode
• Настроить NAT masquerade
36 +38 097 364 96 43

Удалите
WiFi
interface
из bridge
Bridge → Ports
38 +38 097 364 96 43

Настройте
DHCP client
на WiFi-
интерфейсе
IP → DHCP Client
39 +38 097 364 96 43

Укажите название
Profile (Class) и
Pre-Shared Keys
Wireless → Security Profiles
40 +38 097 364 96 43

Установите Mode
в ‘station', SSID в
'ClassAP' и
Security Profile в
'class'
Wireless → Interfaces
Инструмент “Scan…” можно использовать для

просмотра и подключения к доступных АР
41 +38 097 364 96 43
Фичи WinBox
• Для просмотра спрятанной информации (за исключением user
password), выберите Settings → Hide Passwords
42 +38 097 364 96 43

Фичи WinBox
• Для закрытия всех открытых окон, выберите Session → Close All
Windows
Session → Close all windows

43 +38 097 364 96 43
Фичи WinBox
• Для изменения размера шрифта, выберите Settings → Zoom IN/Out
Session → Close all windows

44 +38 097 364 96 43
Приватные и публичные сети
• Masquerade используется для доступа к публичной
сети, при использовании приватных адресов
• Приватные адреса включают
• 10.0.0.0-10.255.255.255
• 172.16.0.0-172.31.255.255
• 192.168.0.0-192.168.255.255
45 +38 097 364 96 43

Router - Internet
Настройте
masquerade
на
интерфейсе
WiFi
IP → Firewall → NAT
46 +38 097 364 96 43

Проверьте соединение
• Пропингуйте www.mikrotik.com со своего РС
47 +38 097 364 96 43

Troubleshooting
• Роутер пингует только AP, и ничего далее
• Роутер не резолвит доменные имена
• РС не может пинговать что-либо кроме роутера
• РС не резолвит доменные имена
• Правило Masquerade не работает.
48 +38 097 364 96 43

Выпуски RouterOS
• Long-term - исправления, нет новых фичей
• Stable – исправления + новые возможности
• Testing – считается ‘beta версией’
Archive
Long-term
Stable
Testing
49 +38 097 364 96 43

Обновление RouterOS
• Самый простой способ обновления
System → Packages → Check For Updates

50 +38 097 364 96 43
Обновление RouterOS
• Скачайте обновление со страницы mikrotik.com/download
• Учитывайте архитектуру процессора Вашего роутера
• Перетащите (Drag & drop) обновление в окно WinBox

• Другие пути: WebFig – меню Files, FTP, sFTP
• Перезагрузите роутер
51 +38 097 364 96 43

Работа с пакетами
Функции RouterOS можно включить/выключить при
помощи пакетов
System → Packages
52 +38 097 364 96 43

Пакеты RouterOS
Package Functionality
advanced-tools advanced ping tools, Netwatch, ip-scan, sms tool, wake-on-LAN
dhcp DHCP client and server
hotspot HotSpot captive portal server
ipv6 IPv6 support
ppp PPP, PPTP, L2TP, PPPoE clients and servers
routing Dynamic routing: RIP, BGP, OSPF
security Secure WinBox, SSH, IPsec
system Basic features: static routing, firewall, bridging, etc.
wireless 802.11 a/b/g/n/ac support, CAPsMAN v2
• Детали на packages wiki page

53 +38 097 364 96 43
Пакеты RouterOS
• Каждой архитектуре CPU есть соответствующий пакет,
например ‘routeros-mipsbe’, ‘routeros-tile’
• Есть базовый набор функций RouterOS (wireless, dhcp,
ppp, routing, etc.)
• Есть экстра-пакеты который можно скачать с
www.mikrotik.com/download
54 +38 097 364 96 43

Экстра-пакеты RouterOS
• Обеспечивают дополнительную функциональность
• Добавить файл пакета на роутер и перазагрузитесь
Пакет Функционал
gps GPS device support
ntp Network Time Protocol server
ups APC UPS management support
user-manager MikroTik User Manager for managing HotSpot users
55 +38 097 364 96 43

Управление пакетами
• Отключить пакет Wireless
• Обратите внимание на список интерфейсов
• Включите пакет Wireless
56 +38 097 364 96 43

Управление пакетами
• Посмотрите меню System в WinBox (нет NTP client/server)
• Загрузите файл нужный пакет для архитектуры процессора
вашего маршрутизатора
• Установите пакет ntp и перезагрузите роутер
• Заметьте изменения в меню System в WinBox
57 +38 097 364 96 43

Downgrade пакетов
• Меню System → Packages
• ‘Check For Updates’ выбираем другой канал для загрузки
(например bugfix-only)
• Нажимаем ‘Download’
• Нажмите ‘Downgrade’ в окне ‘Package List’
58 +38 097 364 96 43

Downgrading пакетов
• Откат софта RouterOS с линейки stable на версию
longterm
• Обратное обновление до версии stable
59 +38 097 364 96 43

RouterBOOT
• Firmware отвечает за запуск RouterOS на устройствах
RouterBOARD
• Существует два «boot loader» на RouterBOARD –
main(основной) и backup (резервный)
• Основной можно обновлять
• Резервный можно использовать в случае
необходимости
60 +38 097 364 96 43

RouterBOOT
System → Routerboard
• Детально на RouterBOOT wiki page
61 +38 097 364 96 43

Идентификация роутера (Identity)
• Каждому роутеру можно установить иденитификатор
• Идентификация доступна в различных местах
System → Identity
62 +38 097 364 96 43

Идентификация роутера (Identity)
• Установите identity Вашего роутера следующим
образом: ВашНомер(XY)_ВашеИмя
• Например: 27_Vadim
• Найдите максимальное кол-во мест в WinBox где указан
идентификатор роутера
63 +38 097 364 96 43

Пользователи RouterOS
• Пользователь по умолчанию – admin
• Пароль по умолчанию – blanc (без пароля)
• Группа full – полные права (administrator)
• Профили называются groups
• Другие групы – read, write, custom (определяется
пользователем)
• Можно создать свою группу и настроить права доступа
64 +38 097 364 96 43
System → Users
65 +38 097 364 96 43

• Добавьте нового пользователя в RouterOS с правами -
full
• Перенесите пользователя admin в группу read
• Зайдите на роутер под новым логином
• Зайдите под admin и попробуйте что-то поменять из
настроек
66 +38 097 364 96 43

Сервисы RouterOS
• Есть разные варианты
подключения к RouterOS
• API - Application Programming
Interface
• FTP – для загрузки/выгрузки
файлов в/из RouterOS
IP → Services
• FTP!!! – надо использовать
крайне аккуратно
67 +38 097 364 96 43
• SSH - безопасный интерфейс
командной строки
• Telnet - небезопасный
интерфейс командной строки
• WinBox – графический
интерфейс
IP → Services
• WWW – доступ через браузер
68 +38 097 364 96 43

• Отключайте сервисы, которые не
используете
• Отклоняйте доступ при помощи поля
‘available from’ field
• Изменяйте порты по умолчанию
IP → Services
69 +38 097 364 96 43
• Откройте RouterOS web-интерфейс -
http://192.168.88.1
• Отключите в WinBox сервис www
• Обновите страницу браузера
70 +38 097 364 96 43

Настройка Backup
• Есть два типа бэкапов
• Файл Backup (.backup) – используется
для восстановления конфигурации на
этом же роутере
• Файл Export (.rsc) – используется для
переноса настроек на другой роутер
71 +38 097 364 96 43

• Файл Backup можно создать и восстановить в
меню Files в WinBox
• Файл Backup - бинарный, по умолчанию не
шифруется паролем. Содержит полную
конфигурацию роутера (пароли, ключи, и др.)
72 +38 097 364 96 43

• Можно использовать произвольное имя и пароль
• Идентификация роутера и текущая дата
используется для формирования имени файла
73 +38 097 364 96 43

• Файл Export (.rsc) – скрипт, при помощи которого
конфигурация роутера может быть сохранена и
восстановлена в последствии
• Файл типа Plain-text (редактируемый)
• Содержит только конфигурацию отличную о
конфигурации по умолчанию.
74 +38 097 364 96 43

• Файл Export создаётся командой ‘export’ из CLI
• В экспортный файл можно сохранить всю, либо часть
конфигурации
• Пароли пользователей RouterOS не сохраняются таким
типом бэкапа
75 +38 097 364 96 43

• Файлы хранятся в корневой папке

• Содержит готовые к использованию команды RouterOS
76 +38 097 364 96 43

• Файлы типа Export можно редактировать
• Можно использовать для переноса конфигурации на
различные RouterBOARD
• Восстановить можно командой ‘/import’
77 +38 097 364 96 43

• Загружается на компьютер используя WinBox
(drag&drop), FTP или WebFig
• Храните бэкапы не только на роутере!!!
78 +38 097 364 96 43

Варианты сброса настроек
• Сброс до настроек по умолчанию
• Сохранение пользователей RouterOS после сброса
• Сброс роутера без сохранения каких-либо настроек
• Запуск скрипта после сброса
System → Reset Configuration

79 +38 097 364 96 43
Сброс конфигурации
• Используя кнопку ‘reset’ роутера
• Загрузка с резервного RouterBOOT (3 сек)
• Сброс конфигурации роутера (5 сек)
• Запустить режим CAP (Управляемый AP) (8 сек)
• Запуск режима Netinstall (20 сек)
• Детальная информация - reset button wiki page
80 +38 097 364 96 43

Netinstall
• Используется для установки и преустановки RouterOS
• Необходимо напрямую подключаться к роутеру (можно
подключаться через Switch)
• Кабель необходимо подключать к порту Ether1 (за
исключением CCR и RB1xxx – в последний порт)
• Запускается под Windows
• Детальная информация на Netinstall wiki page
81 +38 097 364 96 43

Netinstall
• Доступно на www.mikrotik.com/download
82 +38 097 364 96 43

Конфигурируем Backup
• Создайте файл .backup
• Сохраните копию на своём РС
• Удалите файл .backup с роутера
• Сбросьте конфигурацию роутера
• Скопируйте файл .backup обратно на роутер
• Восстановите конфигурацию
83 +38 097 364 96 43

Конфигурируем Backup
• Создайте резервную копию с помощью команды «export»
• Скопируйте его на свой ноутбук
• Удалите файл export с роутера
• Сбросить конфигурацию роутера
• Скопируйте файл export обратно в роутер
• Восстановить конфигурацию роутера
84 +38 097 364 96 43

Netinstall
• Загрузите Netinstall с mikrotik.com
• Загрузите роутер в режиме Netinstall
• Установите RouterOS на свой роутер используя Netinstall
• Восстановите конфигурацию из ранее сохраненных
файлов.
85 +38 097 364 96 43

Лицензии RouterOS
• Все RouterBOARDs поставляются с лицензией
• Есть разные уровни лицензий
• RouterOS обновляется пожизненно!!
• Лицензии CHR или x86 можно заказать на
mikrotik.com или у дистрибьютеров
System → License
86 +38 097 364 96 43

Лицензии RouterOS
Уровень Тип Назначение
0 Trial Mode 24h trial
1 Free Demo
3 CPE Wireless client (station)
4 AP Wireless AP: WISP, HOME, Office
5 ISP Поддержка большего кол-ва туннелей чем L4
6 Controller Неограниченные возможности RouterOS
87 +38 097 364 96 43

Cloud Hosted Router
• версия RouterOS для работы в виртуальных
средах
• Работает на большинстве популярных
платформах виртуализации, таких как-
VMware, Microsoft HyperV, VirtualBox, XEN,
KVM, и др.
• Облачные сервисы - Amazon, Azure и другие.
88 +38 097 364 96 43

Где использовать CHR?
• Firewall для облачных решений
• VPN сервер в облаке
• The Dude – сервер мониторинга
• Имитация сетей для процессов обучения
• Многое другое
89 +38 097 364 96 43

Лицензии CHR
Лимит
Лицензия Цена
скорости
Free 1Mbit 0$
P1 1Gbit 45 US$
P10 10Gbit 95 US$
P-Unlimited Unlimited 250 US$
• 60 дней пробный период

• Купленную лицензию можно перенести
на другой CHR
90 +38 097 364 96 43
Лицензия CHR
WinBox → System → License
91 +38 097 364 96 43

mikrotik.com/client
92 +38 097 364 96 43
mikrotik.com/client/cloudhosting
93 +38 097 364 96 43
94 +38 097 364 96 43
95 +38 097 364 96 43
• Лицензия CHR привязывается к эккаунту
• Лицензия CHR предназначена для одного CHR в
один момент времени
• Можно переносить лицензию на другой CHR
• Лицензионные ключи L4/L5/L6 можно использовать
для CHR L4=P1, L5=P10, L6=P-Unlimited
96 +38 097 364 96 43

Дополнительная информация
• wiki.mikrotik.com - RouterOS документация и
примеры
• forum.mikrotik.com – общайтесь с другими
пользователями RouterOS
• mum.mikrotik.com - страница MikroTik User Meeting
• Поддержка для дистрибьюторов и консультантов
• support@mikrotik.com
97 +38 097 364 96 43

(MTCNA)
Модуль 2
DHCP
98 +38 097 364 96 43

DHCP
• Dynamic Host Configuration Protocol
• Используется для динамического выделения IP-настроек в
локальную сеть
• Рекомендуемое использование только в защищенных сетях
• Работает только в этом же broadcast-домене (layer 2
Network)
• RouterOS поддерживает как DHCP-Server так и DHCP-client.
99 +38 097 364 96 43

DHCP Client
• Используется для автоматического получения:
• IP адреса
• Маски подсети
• Основного шлюза
• DNS серверов
• Дополнительной информации и настроек, если они предлагаются
• Всё оборудование Mikrotik из серии RouterBoard SOHO имеют
установленный DHCP Client на интерфейс Ether1 (Internet)
100 +38 097 364 96 43

DHCP Client
IP → DHCP Client
101 +38 097 364 96 43

DNS
• По умолчанию DHCP клиент
запрашивает сервер об DNS адресах
• Можно добавить вручную, в случае
когда есть необходимость указать
какой-то другой DNS сервер, нежели
предоставленный, либо если DHCP не
использует сервера DNS IP → DNS
102 +38 097 364 96 43

DNS
• RouterOS поддерживает статические DNS записи
• По умолчанию существует статическая запись A DNS с
именем vadim.md, которая указывает на 10.27.10.1.
• Это означает, что вы можете получить доступ к
маршрутизатору, используя DNS-имя вместо IP-адреса.
• http://vadim.md
103
IP → DNS → Static
+38 097 364 96 43
DHCP Server
• Автоматически предоставляет IP-конфигурацию хостам,
по DHCP запросу
• Один IP адрес на роутере необходимо установить на
интерфейсе, на котором будет DHCP-server
• Для установки DHCP Server’а воспользуйтесь командой
DHCP Setup.
104 +38 097 364 96 43

DHCP Server
• Отключаемся от роутера
• Повторно подключитесь, используя MAC-адрес роутера
105 +38 097 364 96 43

DHCP Server
• Удаляем существующий DHCP-сервер и настроим новый.
• Используем ваш номер (XY) для подсети, например

192.168.XY.0 / 24
• Чтобы включить DHCP-сервер на мосту, прописываем

настройки на интерфейсе bridge (а не на порту моста)
106 +38 097 364 96 43

DHCP Server
Удалите
DHCP Server
Удалите
DHCP Network
IP → DHCP Server
107 +38 097 364 96 43

DHCP Server
Удалите
IP Pool
IP → Pool
Удалите
IP Address
IP → Address
108 +38 097 364 96 43

DHCP Server
Добавьте IP
адрес
192.168.XY.1/24
на интерфейсе
bridge
• Например, XY=199
109 +38 097 364 96 43

DHCP Server
1 2
3 4
5 6
IP → DHCP Server → DHCP Setup
110 +38 097 364 96 43

DHCP Server
• Отключитесь от роутера
• Обновите IP-адрес вашего ноутбука
• Подключитесь к новому IP-адресу маршрутизатора
192.168.XY.1.
• Убедитесь, что подключение к Интернету доступно
111 +38 097 364 96 43

DHCP Server
• Мастер настройки
DHCP Server
создаёт новый
диапазон IP-
адресов и DHCP
Server
112 +38 097 364 96 43

Статическая аренда DHCP (static
lease)
• Можно назначить один и тот же IP-адрес одному и тому
же устройству (идентифицированному MAC-адресом)
• DHCP-сервер можно использовать даже без

динамического пула IP-адресов и назначать только
предварительно настроенные адреса
113 +38 097 364 96 43

Статическая аренда DHCP
Конвертация динамической
аренды в статическую
IP → DHCP Server → Leases

114 +38 097 364 96 43
DHCP статическая аренда
• Установите DHCP-Address Pool в режим static-only
• Создайте статическую аренду для Вашего РС
• Смените IP-адрес назначенный Вашему РС DHCP-сервером
на 192.168.XY.123
• Обновите IP-адрес Вашего РС
• Попросите соседей подключиться к Вашему роутеру (IP-
адрес не получит РС)
115 +38 097 364 96 43

ARP
• Address Resolution Protocol – протокол «определения»
адресов
• ARP ставит в соответствие IP-адрес клиента (Layer3) с его
MAC-адресом (Layer2)
• ARP работает динамически
• Можно конфигурировать вручную
116 +38 097 364 96 43

Таблица ARP
• Содержит информацию о IP-адресе, MAC-адресе и
интерфейсе, которым он объеденены
IP → ARP
117 +38 097 364 96 43
Статическая ARP
• Для повышения безопасности , записи в таблицу ARP
можно добавлять вручную
• Сетевой интерфейс конфигурируется в режим reply-only
для работы только с известными ARP записями
• Клиенты маршрутизатора не смогут получить доступ в
Интернет с другого IP-адреса
118 +38 097 364 96 43

Static ARP
Статическия
запись ARP
IP → ARP
119 +38 097 364 96 43
Static ARP
Интерфейс
будет отвечать
только
известным
записям ARP
Interfaces → bridge-local
120 +38 097 364 96 43

DHCP и ARP
• DHCP-сервер может автоматически добавлять записи
ARP
• Сочетание static leases и reply-only ARP может

повысить безопасность сети, сохраняя при этом
простоту использования для пользователей.
121 +38 097 364 96 43

DHCP and ARP
IP → DHCP Server
Add ARP entries

для DHCP leases
122 +38 097 364 96 43

Статический ARP
• Сделайте записи в таблице ARP для Вашего РС - статическими
• Установите в режим ARP - reply-only, для запрещения
динамического добавления ARP записей
• У вас по-прежнему должен быть статический DHCP-сервер и
статическая аренда для ноутбука. Если нет, повторите
предыдущую ЛАБОРАТОРИЮ.
• Включите ‘Add ARP For Leases’ на DHCP-server
123 +38 097 364 96 43

Static ARP
• Удалите статическую запись вашего ноутбука из таблицы
ARP
• Проверьте подключение к Интернету (не работает)
• Обновите IP-адрес вашего ноутбука
• Проверьте подключение к Интернету (должно работать)
• Подключитесь к роутеру и наблюдайте за таблицей
124 +38 097 364 96 43

(MTCNA)
Модуль 3
Bridging
125 +38 097 364 96 43

Bridge
• Bridges – устройства второго уровня модели OSI
• Bridge – «прозрачные» устройства
• Традиционно используются для объединения двух сегментов
сети
• Bridge разделяет домен коллизий на две части
• Сетевой коммутатор это много-портовый bridge – каждый
порт является доменом коллизий для одного устройства
126 +38 097 364 96 43

Bridge
• Все хосты могут общаться друг с другом
• Все имеют один и тот же домен коллизий
127 +38 097 364 96 43

Bridge
• Все хосты по-прежнему могут общаться друг с другом
• Теперь есть 2 домена коллизий
128 +38 097 364 96 43

Bridge
• В RouterOS внедрен программный bridge
• Ethernet, wireless-интерфейс, SFP и туннели можно добавить

в bridge
• Конфигурация по умолчанию для SOHO девайсов,

объединяет в bridge wireless-интерфейс и порт ether2 port
129 +38 097 364 96 43

Bridge
• Начиная с RouterOS v6.41 стало возможным объединить
несколько портов вместе, если устройство имеет
встроенный чип коммутатора (switch chip).
• Использование Switch существенно снижает
использование CPU
• Тем не менее, можно использовать IP firewall для
портов в бридже
130 +38 097 364 96 43

Bridge
• По причине ограничений стандарта 802.11 беспроводные
клиенты в режиме - station, нельзя объединять в мосты.
• RouterOS имеет несколько вариантов решений для снятия
данного ограничения :
• station-bridge
• station-pseudobridge
• station-wds (RouterOS to RouterOS)
131 +38 097 364 96 43

Wireless Bridge
• Для использования station bridge, ‘Bridge Mode’
необходимо включить на AP
132 +38 097 364 96 43

Bridge
• Создаём одну большую сеть, объединив локальный
Ethernet с беспроводным (Интернет) интерфейсом.
• Все РС будут в одной сети
• Примечание: будьте осторожны при соединении сетей
мостом!
• Перед запуском этой ЛАБОРАТОРНОЙ создайте
резервную копию!
133 +38 097 364 96 43

Bridge
• Смените в беспроводном интерфейсе режим на station
bridge
• Выключите DHCP server
• Добавьте wireless-интерфейс в существующий
интерфейс bridge-local как порт
134 +38 097 364 96 43

Bridge
Установите
режим station
bridge
Wireless → wlan1
Выключите
DHCP Server
IP → DHCP Server
135 +38 097 364 96 43
Bridge
Добавьте wireless
interface в bridge
Bridge → Ports
136 +38 097 364 96 43

Bridge
• Обновите IP-адрес на Вашем РС
• Вы должны получить IP-адрес с роутера тренера
• Спросите IP-адрес соседей и попробуйте их пропинговать
• Ваш роутер сейчас – прозрачный мост (transparent bridge)
137 +38 097 364 96 43

Bridge Firewall
• Интерфейс bridge в RouterOS поддерживает firewall
• Траффик проходящий через интерфейсы в bridge могут

быть обработаны firewall’ом
• Включается: Bridge → Settings → Use IP Firewall
138 +38 097 364 96 43

Bridge Firewall
139 +38 097 364 96 43

Bridge
• Восстановите конфигурацию роутера из бэкапа
созданного в предыдущих лабораторных
• Или восстановите конфигурацию вручную
140 +38 097 364 96 43

(MTCNA)
Модуль 4
Routing (маршрутизация)
141 +38 097 364 96 43

• Работает на третьем уровне модели OSI (L3)
• Правила маршрутизации в RouterOS определяют, куда
пакет будет направлен
IP → Routes
142 +38 097 364 96 43

• Dst. Address: сеть, куда отправляется траффик
• Gateway: IP-адрес следующего роутера который
помогает достичь точки назначения (destination)
IP → Routes
143 +38 097 364 96 43
Новый статические маршрут
IP → Routes
144 +38 097 364 96 43

• Опция Check gateway – каждые 10 секунд посылает
ICMP запрос (ping) или ARP шлюзу.
• Если в разных маршрутах указан один шлюз, и один из

них использует опцию check-gateway, все маршруты
будут тоже работать с включённой данной опцией
145 +38 097 364 96 43

• Если два или более маршрута указывают на один и тот
же адрес назначение, использован будет маршрут с
более конкретным условием
• Dst: 192.168.90.0/24, gateway: 192.168.90.135
• Dst: 192.168.90.128/25, gateway: 5.6.7.8
• Dst: 192.168.90.0/26, gateway: 9.8.7.6
• Если необходимо послать пакет на адрес 192.168.90.135, будет
использован шлюз 5.6.7.8
146 +38 097 364 96 43

o gateway 10.10.10.10
o Dst-address=192.168.1.0/24 gateway 192.168.1.110
o Dst-address=192.168.2.110 gateway 2.2.2.1
Пакет с точкой назначения 192.168.4.21 пойдёт через ?

147 +38 097 364 96 43
Маршрут по умолчанию Default
Gateway
• Маршрут по умолчанию – маршрутизатор (следующий
hop) куда будет отправляться весь траффик, который
маршрутизатор не знает куда посылать
• Маркировка 0.0.0.0/0 используется для обозначения

маршрута по умолчанию
148 +38 097 364 96 43

Gateway
• В настоящее время шлюз по умолчанию для вашего
маршрутизатора настраивается автоматически с
помощью DHCP-клиента.
• Отключите «Add Default Route» в настройках DHCP-

клиента.
• Проверьте подключение к Интернету (не работает)

149 +38 097 364 96 43
Gateway
• Добавить шлюз по умолчанию вручную (роутер
тренера)
150 +38 097 364 96 43

Динамические маршруты
• Маршруты с флагом DAC добавляются автоматически
• Источником DAC маршрута, является конфигурация IP-
адреса
IP → Addresses
IP → Routes
151 +38 097 364 96 43
Флаги маршрутов
• A - active
• C - connect
• D - dynamic IP → Routes
• S – static
• o – OSPF
• b – BGP
152 +38 097 364 96 43

Статические маршруты
• Статический маршрут определяет (указывает) как
достичь того или иного адреса либо сети
• Default gateway также статический маршрут. Он

посылает весь неопределённый траффик шлюзу
153 +38 097 364 96 43

• Цель - проверить связь с ноутбуком вашего соседа
• Для этого используем статический маршрут.
• Узнайте у соседа IP-адрес его беспроводного
интерфейса.
• И адрес подсети его внутренней сети (192.168.XY.0 / 24)
154 +38 097 364 96 43

• Добавьте новый маршрут
• Установите Dst. Address – подсеть Вашего соседа
(например. 192.168.37.0/24)
• Установите Gateway – адрес интерфейса Вашего соседа
(например. 192.168.250.37)
• Сейчас Вы сможете пропинговать адрес РС соседа.
155 +38 097 364 96 43

• Объединитесь с двумя своими соседями
• Создайте статический маршрут к одному из ноутбуков
вашего соседа (A) через маршрутизатор другого соседа
(B)
• Попросите соседа B проложить статический маршрут к
ноутбуку соседа A.
• Отправьте пинг на ноутбук соседа
156 +38 097 364 96 43

Создайте
маршрут на РС A
РС A Роутер соседа А через роутер B

AP класса
РС В Роутер соседа В
157 +38 097 364 96 43

• Легко настроить в небольших сетях
• Ограничены ресурсами маршрутизатора
• Плохо масштабируется
• Ручная настройка требуется каждый раз, когда необходимо

достичь новой подсети
158 +38 097 364 96 43

(MTCNA)
Модуль 5
Wireless
159 +38 097 364 96 43

Wireless
• MikroTik RouterOS обеспечивает полную поддержку
беспроводных стандартов IEEE 802.11a/n/ac (5GHz) и
802.11b/g/n (2.4GHz) wireless networking standards
160 +38 097 364 96 43

Wireless стандарты
Стандарт IEEE Частота Скорость
802.11a 5GHz 54Mbps
802.11b 2.4GHz 11Mbps
802.11g 2.4GHz 54Mbps
802.11n 2.4 and 5GHz До 600Mbps
802.11ac 5GHz До 6933Mbps
161 +38 097 364 96 43

Каналы 2.4GHz
• 13 каналов по 22MHz (в большинстве стран мира)

• 3 непересекающихся каналов (1, 6, 11)
• 3 AP могут полностью забить весь диапазон без
интерференций
162 +38 097 364 96 43

2.4GHz каналы
• US: 11 каналов, в Японии - 14

• Ширина канала:
• 802.11b 22MHz, 802.11g 20MHz, 802.11n 20/40MHz
163 +38 097 364 96 43

5GHz Каналы
• RouterOS поддерживает весь спектр частот 5GHz
• 5180-5320MHz (каналы 36-64)
• 5500-5720MHz (каналы 100-144)
• 5745-5825MHz (каналы 149-165)
• И другие в зависимости от законодательства той, либо
иной страны
164 +38 097 364 96 43

5GHz каналы
Стандарт IEEE Ширина канала
802.11a 20MHz
20MHz
802.11n
40MHz
20MHz
40MHz
802.11ac
80MHz
160MHz
165 +38 097 364 96 43

Нюансы законодательства
• Выберите ‘Advanced Mode’ и установите Вашу страну для

соблюдения местных правил регулирования
166 +38 097 364 96 43
Правила регулирования
• Dynamic Frequency Selection (DFS – динаимческий выбор
частоты) это функция, предназначенная для
идентификации радаров. При использовании
диапазона 5 ГГц, если радар обнаружен, выбирается
другая частота
• Некоторые каналы можно использовать только при
включенной функции DFS. (в EU: 52-140, US: 50-144)
167 +38 097 364 96 43

Правила регулирования
• Режим DFS (radar detect) выбирает канал с
наименьшим количеством обнаруженных сетей и
будет использовать его, если в течение 60 секунд
на нем не обнаружится радар
• Переключитесь в ‘Advanced Mode’ активации DFS
Wireless
168 +38 097 364 96 43
Radio Name
• Это «имя» беспроводного интерфейса
• Идентификация WiFi модуля только для RouterOS-
RouterOS
• RadioName указывается таблице Wireless
169 +38 097 364 96 43

Radio Name
• Radio Name указывается ТОЛЬКО в
таблице Registration
Wireless → Registration
170 +38 097 364 96 43

DFS
• Включите режим Advanced Mode
• Выберите Fraquence Mode: regulatory-domain, DFS Mode:
radar detect
• Выберите частоту 5640, пронаблюдайте картину.
• Установите страну US, просмотрите доступные частоты
171 +38 097 364 96 43

Radio Name
• Установите radio name Вашего WiFi интерфейса
следующим образом : YourNumber(XY)_YourName
• Например: 13_Vadim
172 +38 097 364 96 43

Wireless Chains
• В стандарте 802.11n впервые была использована концепция
MIMO (Multiple In and Multiple Out)
• Получение и отправка данных, используя одновременно
несколько антенн
• Передающие и приёмные антенны разносят так, чтобы
корреляция между соседними антеннами была слабой.
• Скорость на 802.11n с одним chain (SISO) достигает 72.2Mbps
173 +38 097 364 96 43

Tx Power
• Используется для настройки мощности беспроводного
интерфейса
• Установите all rates fixed и настраивайте мощность
Wireless → Tx Power
174 +38 097 364 96 43

Чувствительность Rx
• Чувствительность приема - это самый низкий уровень
мощности, при котором беспроводная карта может
обнаруживать сигнал.
• При выборе RouterBoards это значение необходимо учитывать,
в зависимости от планируемого использования.
• Нижний порог чувствительности RX означает лучшее
обнаружение сигнала.
175 +38 097 364 96 43

Беспроводные сети
AP тренера
Беспроводные клиенты
176 +38 097 364 96 43
Беспроводные клиенты
(Wireless Station)
• Wireless station это клиенты AP (ноутбук, телефон,

роутер)
• В RouterOS когда роутер подключается к другой АР
выбирают режим station
177 +38 097 364 96 43

Wireless Station
• Установите
mode=station
• Выберите band
• Установите SSID (ID
беспроводной сети)
• Для клиента частота
не важна
178 +38 097 364 96 43

Безопасность (Security)
• Можно использовать только WPA (WiFi Protected Access)
либо WPA2
• WPA-PSK or WPA2-PSK with AES-CCM encryption
• Trainer AP already is using WPA-PSK/WPA2-PSK
179 +38 097 364 96 43

Security Profile
• Выбираем тип
аутентификации - WPA2
• Используйте надежный
пароль!
Wireless → Security Profiles
180 +38 097 364 96 43

Wireless – процесс подключения
1. Проба подключения. Для подключения к конкретной беспроводной сети клиент
отправляет на много каналов фрейм запроса с указанием сети, к которой он хочет
подключиться, а также поддерживаемые клиентом диапазоны. Точка доступа
отвечает на запрос. Он включает: SSID точки доступа, поддерживаемые диапазоны и
способ аутентификации. Если клиент просто ищет имеющиеся доступные сети, он
отправляет запрос без конкретного SSID. Точка доступа, если ей разрешено отвечать
на широковещательный запрос, отправляет ответ. Он включает: SSID точки доступа,
поддерживаемые диапазоны и способ аутентификации.
181 +38 097 364 96 43

2. Аутентификация. Изначально есть два механизма аутентификации. Первый - открытая
сеть, без аутентификации. Клиент просит: "аутентифицируй меня". Точка отвечает:
"Ок". Второй - аутентификация с общим ключом. Этот метод раньше был основан на
WEP ключе, который знают клиент и точка доступа. Точка доступа отправляет клиенту
текст, зашифрованный своим ключом. Клиент принимает текст, расшифровывает
текст, шифрует своим ключом и отправляет назад на точку. Точка сравнивает текст и,
если он совпадает с отправленным, аутентифицирует клиента.
182 +38 097 364 96 43

3. Ассоциация. Последний этап подключения. Клиент передает
точке свой MAC адрес и MAC адрес точки доступа. Точка отвечает
клиенту ассоциативным идентификатором логического порта
точки доступа, который будет использоваться точкой для общения
с клиентом. После ассоциации начинается передача полезных
данных.
183 +38 097 364 96 43

Connect List
• Правила, используемые station для выбора (или не
выбора) какой-то AP
Wireless → Connect List
184 +38 097 364 96 43

Connect List
• В настоящее время ваш маршрутизатор подключен к
точке доступа класса
• Создайте правило, запрещающее подключение к классу

AP
185 +38 097 364 96 43

Точка доступа (Access Point)
• Установите режим
mode=ap bridge
• Выберите band
• Установите частоту
• Установите SSID (ID –
беспроводной сети)
• Выберите Security Profile
186 +38 097 364 96 43

WPS
• Wi-Fi Protected Setup (WPS) - это функция для доступа к
Wi-Fi без необходимости ввода парольной фразы.
• RouterOS поддерживает режимы приема WPS (для

точки доступа) и клиента WPS (для станции).
187 +38 097 364 96 43

WPS Accept
• Чтобы легко разрешить клиентам доступ к AP, можно
использовать кнопку WPS accept.
• WPS обеспечивает доступ к AP в течение 2 минут или до
тех пор, пока клиентское устройство не подключится
• Кнопку WPS необходимо нажимать каждый раз, когда
необходимо подключить устройство.
188 +38 097 364 96 43

WPS Accept
• Для каждого устройства необходимо
нажимать один раз на кнопку.
• Все устройства на RouterOS и
беспроводным интерфейсом имеют
виртуальную кнопку WPS
• Современные устройства имеют
физическую кнопку
189 +38 097 364 96 43

WPS Accept
• Виртуальная кнопка WPS доступна в QuickSet.
• При необходимости можно отключить.
• RouterOS не поддерживает незащищённый PIN
режим.
• WPS клиент поддреживается многими ОС, в том
числе и RouterOS
• RouterOS does not support the insecure PIN mode
190 +38 097 364 96 43

WPS клиент
• Клиент WPS в RouterOS доступен в меню Wireless
• Для подключения к Wi-Fi сети включите WPS accept на AP
• Запустите WPS-клиент на клиентском оборудовании
191 +38 097 364 96 43

Wireless Repeater (повторитель)
• RouterOS поддерживает режим повторителя (repeater)
• Когда включён режим роутер становится station и ap
bridge одновременно
• Используется для увеличения покрытия существующего
AP без использования Ethernet кабеля.
192 +38 097 364 96 43

Access Point
• Создайте новый security profile для Вашей точки доступа
• Установите режим беспроводного интерфейса в ap
bridge, установите свой SSID, выберите созданный
security profile
• Отключите DHCP client на беспроводном интерфейсе
(пропадёт интернет соединение)
193 +38 097 364 96 43

Access Point
• Добавить беспроводной интерфейс в bridge
• Отключаем кабель от ноутбука
• Подключитесь к беспроводной точке доступа с помощью
ноутбука
• Подключитесь к роутеру с помощью WinBox и откройте таблицу
регистрации беспроводных сетей.
• Когда закончите, восстановите предыдущую конфигурацию
194 +38 097 364 96 43

Snooper
• Получите полный обзор беспроводных сетей в
выбранном диапазоне
• Беспроводной интерфейс отключается во время

сканирования!
• Предназначен для выбора канала
195 +38 097 364 96 43

Snooper
Wireless → Snooper
196 +38 097 364 96 43
Таблица регистрации
(Registration Table)
• Просмотр всех соединений на wireless интерфейсе
• Либо соединения нашего роутера как клиента к другой АР
197 +38 097 364 96 43

Список доступа (Access List)
• Используется точкой доступа (AP) для управления
разрешенными соединениями со станций
• Определить MAC-адрес устройства
• Настройте, может ли клиент аутентифицироваться на AP
• Ограничьте время суток, когда он может подключиться
198 +38 097 364 96 43

Access List
Wireless → Access List
199 +38 097 364 96 43

Access List
• Если в списке доступа нет подходящих правил, по
умолчанию будут использоваться значения из
беспроводного интерфейса.
200 +38 097 364 96 43

Registration Table
• Может использоваться
для создания connect-list
или access-list, устройств,
подключенных в данный
момент
201 +38 097 364 96 43

Default Authenticate
202 +38 097 364 96 43

Default Authenticate
Default Access/Connect List
Поведение
Authentication записи
Основано на настройках
+
access/connect list
✓
- Аутентифицировать
Основано на настройках
+
access/connect list
✕
- Не Аутентифицировать
203 +38 097 364 96 43

Default Forward
• Используйте, чтобы
разрешить/запретить связь
между клиентами AP
• По умолчанию - Включено
• Пересылка может быть
отменена для клиентов,
определенных access list
204 +38 097 364 96 43

(MTCNA)
Модуль 6
Firewall
205 +38 097 364 96 43

Firewall
• Система сетевой безопасности, которая защищает внутреннюю
сеть и маршрутизатор от угроз извне (например, Интернет)
• Работает на основе правил, которые анализируются

последовательно
• Правила брандмауэра RouterOS управляются в разделах Фильтр и

NAT.
206 +38 097 364 96 43

Правила Firewall
• Работает по принципу If-Then
• Управляется цепочками (chains)
• Существуют предопределённые цепочки
• Пользователь может создавать новые цепочки
207 +38 097 364 96 43

Фильтры Firewall
• Есть три предопределённые цепочки
• input (траффик заканчивается на роутере)
• output (траффик генерируется на роутере)
• forward (траффик проходит сквозь роутер)
output
input
forward
208 +38 097 364 96 43
Filter Actions
В случае выполнения условия в фильтре, с пакетом должно
произойти какой-то действие. Основные действия:
• Accept (принять пакет и перейти на следующий уровень
PacketFlow)
• drop или reject – откинуть пакет и возможно отправить ICMP
сообщение
• jump/return к/из цепочки определённой пользователем
• Более детально о других «action»- firewall wiki page
209 +38 097 364 96 43
Filter действия
IP → Firewall → New Firewall Rule (+) → Action
210 +38 097 364 96 43

Цепочки
IP → Firewall
• TIP: для улучшения читаемости правил firewall упорядочивайте
их последовательно по цепочке и добавляйте комментарии
211 +38 097 364 96 43

Цепочка: input
• Предназначена для защиты роутера
• Как от угроз из Internet так и от угроз со стороны
локальной сети
input
212 +38 097 364 96 43

Цепочка : input
• Добавьте разрешающее правило accept input на
локальный интерфейс для IP-адреса Вашего РС (Src.
Address = 192.168.XY.99)
• Добавьте запрещающее правило drop input на этот
интерфейс на всё остальное
213 +38 097 364 96 43

IP → Firewall → New Firewall Rule (+)
214 +38 097 364 96 43

• Смените IP-адрес Вашего РС на статический, например
192.168.XY.199, DNS и шлюз оставьте: 192.168.XY.1
• Отключитесь от роутера
• Попробуйте подключиться к роутеру (не получится)
• Попробуйте подключиться к Internet (не получится)?
215 +38 097 364 96 43

• Траффик Интернета управляется цепочкой forward,
почему же тогда страница не открывается?
• Ваше мнение …..
216 +38 097 364 96 43

• Ваш РС использует маршрутизатор в качестве DNS
• Подключитесь к роутеру используя MAC WinBox
• Добавьте правило accept input на интерфейсе bridge
разрешающее DNS запросы, порт: 53/udp и поместите это правило
выше запрещающего правила
• Попробуйте подключиться к Internet (работает)
217 +38 097 364 96 43

• Верните Вашему PC динамическую адресацию (DHCP)
• Подключитесь к роутеру
• Отключите (или удалите) только что добавленные

правила
218 +38 097 364 96 43

Цепочка : forward
• Обрабатывает пакеты, проходящие сквозь (through)
роутер
• Цепочка Forward управляет траффиком между
клиентом и Интернетом и между клиентами
219 +38 097 364 96 43

• По умолчанию внутренний траффик между клиентами
подключёнными к одному роутеру разрешен
• Траффик между клиентами и Интернетом не запрещён.
220 +38 097 364 96 43

• Добавьте в фильтры правило drop forward для порта
протокола http (80/tcp)
• Когда хотите указать порт, обязательно указываем IP
протокол
IP → Firewall → New Firewall Rule (+)

221 +38 097 364 96 43
• Попробуйте открыть www.mikrotik.com (не получится)
• Попробуйте открыть WebFig http://192.168.XY.1 (работает)
• Web страница роутера работает потому что траффик
заканчивается на роутере (input), а не проходит сквозь него
(forward)
222 +38 097 364 96 43

Часто используемые порты
Порт Сервиc
80/tcp HTTP
443/tcp HTTPS
22/tcp SSH
23/tcp Telnet
20,21/tcp FTP
8291/tcp WinBox
5678/udp MikroTik Neighbor Discovery
223 +38 097 364 96 43

Address List
• Список адресов (Address list ) позволяет создать действие
для нескольких IP-адресов одновременно
• Возможно автоматическое добавление IP-адреса в список
адресов.
• IP может быть добавлен в список постоянно или на
определенный период времени.
• Список адресов может содержать один IP-адрес, диапазон
IP-адресов или целую подсеть.
224 +38 097 364 96 43
Address List
IP → Firewall → Address Lists → New Firewall Address List (+)
225 +38 097 364 96 43

Address List
• Вместо того, чтобы указывать адрес на вкладке
«General», переключитесь на «Advanced» и выберите
«Список адресов» (Src. Или Dst. В зависимости от
правила).
IP → Firewall → New Firewall Rule (+) → Advanced
226 +38 097 364 96 43

Address List
• Action в Firewall можно использовать для
автоматического добавления адресов в address list
• Постоянно или на время
IP → Firewall → New Firewall Rule (+) → Action
227 +38 097 364 96 43

Address List
• Создайте список адресов с разрешенными IP-адресами,
обязательно укажите IP-адрес вашего ноутбука
• Добавить разрешающее правило (accept input) на интерфейсе
bridge для порта WinBox при подключении с адреса, включенного
в address list
• Создайте запрещающее правило (drop input ) для всех других кто
подключается к WinBox
228 +38 097 364 96 43

Firewall Log
• Каждое правило firewall’a может быть сохранено (log) при
совпадении
• Можно добавить определённый префикс (метку), чтобы

облегчить поиск записей позже
229 +38 097 364 96 43

Firewall Log
IP → Firewall → Edit Firewall Rule → Action
230 +38 097 364 96 43

Firewall Log
• Включите ведение журнала для обоих правил
брандмауэра, созданных во время Address List LAB.
• Подключиться к WinBox с разрешенный IP-адреса
• Отключите и измените IP-адрес вашего PC на тот,
которого нет в разрешенном списке.
• Попробуй подключиться к WinBox
• Измените IP и посмотрите записи журнала
231 +38 097 364 96 43

NAT
• Network Address Translation (NAT) это метод
модификации IP адреса пакета (source или destination)
• Соответственно есть два типа NAT - ‘source NAT’ и

‘destination NAT’
232 +38 097 364 96 43

NAT
• NAT обычно используется для обеспечения доступа к
внешней сети от какого-либо частного IP-адреса (src-
nat)
• Или наоборот, доступ из внешнего мира к какому-либо

ресурсу в локальной сети (dst-nat)
233 +38 097 364 96 43

NAT
Новый
Src address
Src address
Хост внутри сети

Публичный сервер
234 +38 097 364 96 43

NAT
Новый
Dst Address Dst Address
Публичный
хост
Сервер в частной
сети
235 +38 097 364 96 43

NAT
• Firewall srcnat и dstnat цепи используются для
выполнения NAT функционала
• Так же, как правила фильтрации, работает по принципу
If-Then
• Анализируется последовательно, пока не выполнится
первое условие
236 +38 097 364 96 43

Dst NAT
Новый Dst Address Dst Address
192.168.1.1:80 159.148.147.196:80
Публичный
хост
Web сервер
192.168.1.1
237 +38 097 364 96 43

Dst NAT
IP → Firewall → NAT → New NAT Rule (+)

238 +38 097 364 96 43
Redirect
• Специальный тип dstnat
• Это действие перенаправляет пакеты на сам роутер
• Можно использовать для создания «прозрачных»

сервисов (например Transparent Proxy, Transparent DNS,
HTTP)
239 +38 097 364 96 43

Redirect
Dst Address
настроенного DNS server:53
Новый Dst Address

Router:53
DNS
Cache
240 +38 097 364 96 43

Src NAT
Src address Новый Src address
192.168.199.200 router IP
192.168.199.200
Публичный сервер
• Masquerade специальный тип srcnat

241 +38 097 364 96 43
Src NAT
• srcnat действие src-nat’а означает замена source IP-адреса
и/или порта
• Например: две компании (A и B) объединились. Внутри
обе используют одинаковое адресное пространство
(172.16.0.0/16). Им необходимо настроить какой-то буфер,
с другим адресным пространством для взаимодействия,
обе сети должны будут использовать правила src-nat и
dst-nat.
242 +38 097 364 96 43

NAT Helpers
• Некоторые протоколы нуждаются в так называемом
NAT helpers для корректной работы в NATсетях
IP → Firewall → Service Ports
243 +38 097 364 96 43

Соединения (Connections)
• New – пакет, открывающий соединение
• Established – пакет, который относится к уже известному
соединению
• Related - пакет открывающий новое соединение, но
который имеет отношение к уже известному соединению
• Invalid – пакет, который не относится к какому-либо
известному соединению
244 +38 097 364 96 43

Соединения (Connections)
Invalid Established
New Related
245 +38 097 364 96 43

Connection Tracking
• Управляет информацию об активных соединениях
• Должен быть включен для работы NAT и Filter
• Важно: connection state ≠ TCP state
246 +38 097 364 96 43

Connection Tracking
IP → Firewall → Connections
247 +38 097 364 96 43

FastTrack
• Метод ускорения продвижения пакета в роутере
• Соединения established или related могут быть
помечены для fasttrack connection
• Помеченные соединения минуют firewall, connection
tracking, simple queue и другие функции
• На текущий момент поддерживает TCP и UDP
протоколы
248 +38 097 364 96 43

FastTrack
Без FastTrack C FastTrack
360Mbps 890Mbps
Загрузка CPU - 100% Загрузка CPU - 86%
Использование CPU в firewall - 44% Использование CPU в firewall - 6%
* Проверено на RB2011 с одним TCP-потоком
• Больше информации FastTrack wiki page
249 +38 097 364 96 43

HairPin
Оставляем
/ip firewall nat

add chain=dstnat dst-port=80 action=dst-nat to-
address=192.168.88.229
Добавляем
add chain=srcnat src-address= 192.168.88.229
dst-address= 192.168.88.0/24 action=masquerade
250 +38 097 364 96 43

HairPin решение
Оставляем
/ip firewall nat

add chain=dstnat dst-port=80 action=dst-nat to-address=192.168.1.1
Добавляем
add chain=srcnat src-address= 192.168.1.1 dst-address= 192.168.1.0/24 action=masquerade
251 +38 097 364 96 43

Шаблоны Firewall
/ip firewall filter
#Разрешает входящий трафик от уже установленных(established, related) соединений
add chain=input connection-state=established,related action=accept
#Разрешаем входящий icmp трафик

add chain=input connection-state=new protocol=icmp action=accept
#Разрешаем входящий трафик из локальной сети

add chain=input connection-state=new in-interface-list=LAN action=accept
#Отбрасываем весь оставшийся входящий трафик

add chain=input action=drop
252 +38 097 364 96 43

Шаблоны Firewall
#Разрешаем транзитные пакеты от уже установленных соединений
add chain=forward connection-state=established,related action=accept
#Разрешаем транзитные пакеты из локальной сети в сеть интернет

add chain=forward connection-state=new in-interface-list=LAN action=accept
#Отбрасываем весь оставшийся транзитный трафик

add chain=forward action=drop
253 +38 097 364 96 43

(MTCNA)
Модуль 7
QoS
254 +38 097 364 96 43

Качество сервиса
Quality of Service (QoS)
• QoS - это общая производительность (качество) сети, в
частности производительность, которую видят пользователи
сети.
• RouterOS реализует несколько методов QoS, таких как

ограничение скорости трафика (shaping), приоритизация
трафика и другие.
255 +38 097 364 96 43
Ограничение скорости
• Прямой контроль над входящим трафиком невозможен
• Но можно сделать это косвенно, отбросив входящие

пакеты.
• TCP адаптируется к эффективной скорости соединения
256 +38 097 364 96 43

Простые очереди
(Simple Queue)
• Можно использовать для простого ограничения
траффика:
• Скорость скачивания (↓) клиента
• Скорость выгрузки (↑) клиента
• Суммарная скорость (total) клиента (↓ + ↑)
257 +38 097 364 96 43

(Simple Queue)
Указываем
клиента
Указываем Max
Limit для клиента
• Отключите правило
Firewall FastTrack чтоб Queues → New Simple Queue(+)
Simple Queue заработало
258 +38 097 364 96 43
(Simple Queue)
• Установите ограничение скорости для вашего РС (192.168.XY.200)
• Установите скорость выгрузки 512k, скорость загрузки 768k
• Откройте www.mikrotik.com/download и загрузите текущую
версию RouterOS.
• Обратите внимание на скорость загрузки
259 +38 097 364 96 43

(Simple Queue)
• Можно регулировать скорость «моста» между
клиентским хостом и например сервером
Установите Target -
любой
Установите Dst.
Адрес сервера
Queues +38 097 364 96 43

260
(Simple Queue)
• Используя инструмент ping, узнайте адрес www.mikrotik.com
• Измените существующую простую очередь, чтобы ограничить
подключение к серверу mikrotik.com
• Скачайте MTCNA outline
• Обратите внимание на скорость загрузки
261 +38 097 364 96 43

Гарантированный канал
• Используется, чтобы гарантировать, что клиент всегда будет
получать минимальную пропускную способность
• Оставшийся трафик будет разделен между клиентами в

порядке очереди, либо приоритета.
• Управляется параметром Limit-at
262 +38 097 364 96 43

limit at
Queues → Simple Queue → Edit → Advanced

• Клиенту будет гарантироваться ширина
полосы 1Mbit для выгрузки и загрузки
263 +38 097 364 96 43
• Например:
• Общая полоса пропускания : 10Mbits
• 3 клиента, каждому гарантируется какая-то полоса пропускания
• Оставшаяся полоса пропускания разделится между всеми

оставшимися клиентами
264 +38 097 364 96 43

Queues
Гарантированная Актуальная
полоса полоса
265 +38 097 364 96 43

Burst (всплеск)
• Используется для обеспечения более высоких
скоростей передачи данных, в течение короткого
периода времени
• Полезно для HTTP-трафика - веб-страницы загружаются
быстрее
• Для загрузки файлов ограничения Max Limit по-
прежнему действуют
266 +38 097 364 96 43

burst, порог и
время
Queues → Simple Queue → Edit
267 +38 097 364 96 43

• Burst limit - максимальная скорость загрузки/выгрузки
данных, которая может быть достигнута в Burst-время
• Burst time - время (в секундах), за которое
рассчитывается средняя скорость передачи данных (это
НЕ фактическое время burst).
• Burst threshold – порог, когда средняя скорость
передачи данных, в случае пересечения которого, burst
включается или выключается
268 +38 097 364 96 43

• Измените queue, созданное в предыдущей лабораторной
• Установите burst limit в 4M для загрузки и выгрузки
• Установите порог burst в 2M для загрузки и выгрузки
• Установите burst time в 15 секунд для загрузки и выгрузки
269 +38 097 364 96 43

Burst
• Откройте www.mikrotik.com, обратите внимание, КАК
загружается страница
• Скачайте последнюю версию RouterOS со страницы MikroTik

download
• Пронаблюдайте за скоростью скачивания с помощью torch
270 +38 097 364 96 43

Per Connection Queuing
• Тип очереди для оптимизации крупных развертываний
QoS путем ограничения на «подпоток» (‘sub-stream’)
• Заменяет несколько очередей одной
• Может классифицироваться по:
• source/destination IP-адрес
• source/destination порт
271 +38 097 364 96 43

Per Connection Queuing
• Rate - максимальная доступная скорость передачи данных
каждого подпотока
• Limit - размер очереди одного подпотока (KiB)
• Total Limit - максимальный объем данных в очереди во всех

подпотоках (KiB)
272 +38 097 364 96 43

Пример PCQ
• Цель: ограничить всех клиентов на 1 Мбит/с для загрузки и
1Мбит/с для выгрузки.
• Создайте 2 новых типа очереди
• 1 для Dst-адреса (ограничение на скачивание)
• 1 для Scr- адреса (ограничение на загрузку)
• Установить queues для интерфейсов LAN и WAN
273 +38 097 364 96 43

Пример PCQ
Queues → Queue Type → New Queue Type(+)

274 +38 097 364 96 43
Пример PCQ
WAN
interface
LAN
interface
Queues → Interface Queues
275 +38 097 364 96 43
Пример PCQ
• Все клиенты, подключенные к интерфейсу LAN, будут
иметь ограничения загрузки и скачивания 1Mbps
Tools → Torch
276 +38 097 364 96 43
Пример PCQ
• Тренер создаёт две очереди pcq с ограничением всех
клиентов (маршрутизаторы студентов) для загрузки и
скачивания на 512Kbps
• Попробуйте загрузить последнюю версию RouterOS с
сайта www.mikrotik.com и понаблюдайте за скоростью
загрузки с помощью инструмента torch.
277 +38 097 364 96 43

Torch
• Инструмент мониторинга траффика в режимеReal-time
Укажите Укажите
интерфейс адрес РС
Наблюдайте
траффик
Tools → Torch
278 +38 097 364 96 43
(MTCNA)
Модуль 8
Tunnels
279 +38 097 364 96 43

Point-to-Point Protocol
• Протокол точка-точка (PPP) используется для
установления туннеля (прямого соединения) между
двумя узлами.
• PPP может обеспечивать аутентификацию соединения,
шифрование и сжатие
• RouterOS поддерживает различные туннели PPP, такие
как PPPoE, SSTP, PPTP и другие.
280 +38 097 364 96 43

PPPoE
• Point-to-Point Protocol over Ethernet протокол 2-го уровня
который используется для управления доступом к сети
• Обеспечивает аутентификацию, шифрование и сжатие
• PPPoE можно использовать для выдачи IP-адресов клиентам
281 +38 097 364 96 43

PPPoE
• Большинство операционных систем для настольных ПК
по умолчанию установлен клиент PPPoE.
• RouterOS поддерживает как клиент PPPoE, так и сервер

PPPoE (концентратор доступа)
282 +38 097 364 96 43

PPPoE Client
Укажите
интерфейс,
service,
username и
password
PPP → New PPPoE Client(+)
283 +38 097 364 96 43

PPPoE Client
• Если в широковещательном домене более одного
сервера PPPoE, обязательно надо указать service name
• В противном случае клиент попытается подключиться к

тому, кто откликнется первым.
284 +38 097 364 96 43

PPPoE Client
• Тренер создаёт PPPoE-сервер на своем роутере.
• Отключите DHCP-клиент на вашем роутере
• Настройте PPPoE-клиент на исходящем интерфейсе вашего

маршрутизатора.
• Установить имя пользователя mtcnaclass пароль mtcnaclass
285 +38 097 364 96 43

PPPoE Client
• Проверьте статус PPPoE клиента
• Когда закончите, отключите клиент PPPoE.
• Включите DHCP-клиент для восстановления предыдущей

конфигурации
286 +38 097 364 96 43

IP Pool
• Определяет диапазон IP-адресов для выдачи сервисами
RouterOS
• Используется в DHCP, PPP и HotSpot
• Адреса берутся из пула автоматически
287 +38 097 364 96 43

IP Pool
Установите имя
пула и адресное
пространство
IP → Pool → New IP Pool(+)
288 +38 097 364 96 43

PPP Profile
• Профиль определяет правила, используемые сервером
PPP для клиентов.
• Это позволяет установить одинаковые настройки для

нескольких клиентов
289 +38 097 364 96 43

PPP Profile
Укажите
локальный и
удалённый
адрес тунеля
Предлагается
использовать
шифрование
PPP → Profiles → New PPP Profile(+)

290 +38 097 364 96 43
PPP Secret
• Локальная база данных пользователей PPP
• Можно настроить: Имя пользователя, пароль и другие
пользовательские настройки
• Остальные настройки применяются из выбранного
профиля PPP.
• Настройки Secret PPP имеют приоритет над
соответствующими настройками профиля PPP
291 +38 097 364 96 43

PPP Secret
username,
password и profile.
Укажите сервис,
если необходимо
PPP → Secrets → New PPP Secret(+)

290 +38 097 364 96 43
PPPoE Server
• Сервер PPPoE работает на интерфейсе
• Не может быть настроен на интерфейсе, который является
частью bridge
• Либо удалите с моста, либо настройте сервер PPPoE на bridge
• По соображениям безопасности нельзя использовать IP-адрес
на интерфейсе, на котором настроен сервер PPPoE.
293 +38 097 364 96 43

PPPoE Server
service name,
interface, profile и
протоколы
аутентификации
294 +38 097 364 96 43

PPP Status
• Информация о
текущих активных
пользователях PPP
PPP → Active Connections
295 +38 097 364 96 43

Point-to-Point Addresses
• Когда устанавливается соединение между клиентом
PPP и сервером, назначаются адреса /32
• Для клиента сетевой адрес (или шлюз) - это другой
конец туннеля (маршрутизатор)
296 +38 097 364 96 43

Point-to-Point Addresses
• Маска подсети не нужна при использовании адресации PPP
• Адресация PPP использует 2 IP-адреса
• Если адресация PPP не поддерживается другим устройством,

следует использовать сетевую адресацию / 30.
297 +38 097 364 96 43

PPPoE Server
• Настройте сервер PPPoE на неиспользуемом
интерфейсе LAN маршрутизатора (например, eth5).
• Убедитесь, что интерфейс не является портом моста
• Убедитесь, что у интерфейса нет IP-адреса
298 +38 097 364 96 43

PPPoE Server
• Создайте IP pool, PPP profile и secret для сервера PPPoE
• Создайте сервер PPPoE
• Настройте клиент PPPoE на своем ноутбуке
• Подключите ноутбук к порту маршрутизатора, на
котором настроен сервер PPPoE.
299 +38 097 364 96 43

PPPoE Server
• Подключиться к серверу PPPoE
• Подключитесь к роутеру с помощью MAC WinBox и
наблюдайте за статусом PPP.
• Отключитесь от сервера PPPoE и снова подключите
ноутбук к ранее используемому порту.
300 +38 097 364 96 43

PPTP
• Протокол туннелирования точка-точка (PPTP) обеспечивает
зашифрованные туннели через IP.
• Может использоваться для создания безопасных соединений

между локальными сетями через Интернет (крайне
ненадёжных!!!).
• RouterOS поддерживает как клиент PPTP, так и сервер PPTP.
301 +38 097 364 96 43

PPTP
• Использует порт tcp/1723 и IP-протокол номер 47 - GRE
(Generic Routing Encapsulation)
• NAT helpers используются для поддержки PPTP в сети

NAT.
302 +38 097 364 96 43

PPP Tunnel
Tunnel
303 +38 097 364 96 43

PPTP Client
name, IP-
адрес PPTP
сервера,
username и
password
PPP → New PPTP Client(+)

304 +38 097 364 96 43
PPTP Client
• Используйте Add Default Route для отправки всего
трафика через туннель PPTP
• Используйте статические маршруты для отправки
определенного трафика через PPTP-туннель
• Важно! PPTP больше не считается безопасным -
используйте с осторожностью!
• Вместо этого используйте SSTP, OpenVPN или другой
305 +38 097 364 96 43

PPTP Server
• RouterOS обеспечивает простую настройку сервера PPTP
• Можно использовать QuickSet для включения доступа к
VPN
Включение
VPN доступа
и установка
VPN-пароля
306 +38 097 364 96 43

SSTP
• Secure Socket Tunnelling Protocol (SSTP) обеспечивает
зашифрованные туннели через IP.
• Использует порт tcp/443 (такой же, как HTTPS)
• RouterOS поддерживает как клиент SSTP, так и
сервер SSTP.
• Клиент SSTP доступен в Windows Vista SP1 и более
поздних версиях
307 +38 097 364 96 43

SSTP
• Реализация клиента и сервера с открытым исходным
кодом доступна в Linux
• Поскольку он идентичен трафику HTTPS, обычно SSTP

может проходить через брандмауэры без специальной
настройки.
308 +38 097 364 96 43

SSTP Client
Установите name,
IP-адрес SSTP
сервера,
username и
password
309 +38 097 364 96 43

SSTP Client
• Используйте Add Default Route для отправки всего
трафика через туннель SSTP
• Используйте статические маршруты для отправки

определенного трафика через туннель SSTP
310 +38 097 364 96 43

SSTP Client
• Для подключения между двумя устройствами RouterOS
сертификаты SSL не требуются.
• Для подключения из Windows необходим действующий

сертификат.
• Может быть выдан внутренним центром сертификации (CA)
311 +38 097 364 96 43

PPTP/SSTP
• Соединитесь со своим соседом
• Один из вас создаст PPTP-сервер и SSTP-клиент,
другой - SSTP-сервер и PPTP-клиент.
• Повторно использовать ранее созданный пул IP-
адресов, профиль PPP и секрет для серверов
• Создайте клиентское подключение к маршрутизатору
вашего соседа
312 +38 097 364 96 43

PPTP/SSTP
• Проверьте правила брандмауэра. Помните, что сервер
PPTP использует порт tcp/1723 и протокол GRE, порт
SSTP tcp/443
• Пропингуйте ноутбук соседа со своего ноутбука (не
пингуется)
• ПОЧЕМУ? (ответ на следующем слайде)
313 +38 097 364 96 43

PPTP/SSTP
• Нет маршрутов во внутреннюю сеть ваших соседей
• Создайте статические маршруты к сети друг друга,
устанавливают клиентский интерфейс PPP в качестве
шлюза.
• Пропингуйте соседский ноутбук со своего ноутбука
(должен пинговать)
314 +38 097 364 96 43

PPP
• Более подробно PPPoE, PPTP, SSTP и другие туннельные
протоколы рассматриваются в сертифицированных курсах MTCRE
и MTCINE MikroTik.
• Дополнительная информация http://training.mikrotik.com
315 +38 097 364 96 43

(MTCNA)
Модуль 9
Misc
316 +38 097 364 96 43

Инструменты RouterOS
• RouterOS предоставляет
различные утилиты, которые
помогают более эффективно
администрировать и
контролировать маршрутизатор.
317 +38 097 364 96 43

E-mail
• Позволяет отправлять электронные
письма с роутера
• Например, чтобы отправить
резервную копию маршрутизатора
Tools → Email
/export file=export
/tool e-mail send to=you@gmail.com\
subject="$[/system identity get name] export"\
body="$[/system clock get date]\
configuration file" file=export.rsc
A script to make an export file and send it via e-mail
317 +38 097 364 96 43

Netwatch
• Отслеживает состояние хостов в
сети
• Отправляет эхо-запрос ICMP (ping)
• Может выполнять скрипт, когда
хост становится доступным или
недоступным
Tools → Netwatch
319 +38 097 364 96 43
Ping
• Используется для проверки
доступности хоста в IP-сети
• Измеряет время приема-передачи
сообщений между исходным и
конечным узлами
• Отправляет пакеты эхо-запроса ICMP
Tools → Ping
320 +38 097 364 96 43

Ping
• Отправьте эхо-запрос на IP-адрес ваш РС с маршрутизатора
• Нажмите «New Window» и отправьте эхо-запрос на

www.mikrotik.com с маршрутизатора.
• Обратите внимание на разницу во времени в оба конца
321 +38 097 364 96 43

Traceroute
• Инструмент сетевой
диагностики для
отображения маршрута
(пути) пакетов в IP-сети
• Может использовать
протокол icmp или udp
Tools → Traceroute
322 +38 097 364 96 43

Profile
• Показывает использование ЦП для
каждого запущенного процесса
RouterOS в реальном времени
• idle - неиспользуемые ресурсы
процессора Tools → Profile
• Для получения дополнительной
информации Profile wiki page
323 +38 097 364 96 43

Interface Traffic Monitor
• Статус трафика в реальном
времени
• Доступно для каждого
интерфейса на вкладке трафика
• Доступен как из WebFig, так и из
CLI.
Interfaces → +38
wlan1 → Traffic
097 364 96 43
324
Torch
• Инструмент мониторинга в реальном времени
• Используется для отслеживания потока трафика через

интерфейс
• Может отслеживать трафик, классифицированный по имени IP-

протокола, адресу источника / назначения (IPv4 / IPv6), номеру
порта
325 +38 097 364 96 43
Torch
Tools → Torch
• Поток трафика с ноутбука на HTTPS-порт
веб-сервера MikroTik.
326 +38 097 364 96 43
Graphs
• RouterOS может генерировать графики, показывающие,
сколько трафика прошло через интерфейс или очередь.
• Может показывать загрузку ЦП, памяти и диска
• Для каждой метрики есть 4 графика - дневной,
недельный, ежемесячный и годовой.
• Указывает среднее время загрузки за определённый
период
327 +38 097 364 96 43

Graphs
определенный
интерфейс для
мониторинга или
оставьте все,
установите IP-адрес
/ подсеть, которая
будет иметь доступ
к графикам
Tools → Graphing
328 +38 097 364 96 43

Graphs
• Доступен на роутере :
http://router_ip/graphs
329 +38 097 364 96 43

Graphs
330 +38 097 364 96 43

Graphs
• Включите интерфейс, очередь и ресурсы на вашем
маршрутизаторе
• Обратите внимание на графики
• Загрузите большой файл из Интернета
• Обратите внимание на графики
331 +38 097 364 96 43

SNMP
• Simple Network Management Protocol (SNMP)
• Используется для мониторинга и управления устройствами
• RouterOS поддерживает SNMP v1, v2 и v3
332 +38 097 364 96 43

SNMP
Tools → SNMP
333 +38 097 364 96 43

aining
st 22 Center2019
Scheduler
• Инструмент для запуска
определенных команд, циклически
повторяющихся или одноразовых
команд.
334 +38 097 364 96 43

The Dude
• Приложение от MikroTik, которое может значительно
улучшить способ управления сетью
• Автоматическое обнаружение хостов и схема расположения
устройств
• Мониторинг сервисов и оповещение
• Бесплатное!!!!
335 +38 097 364 96 43

The Dude
• Поддерживает мониторинг SNMP, ICMP, DNS и TCP
• Серверная часть работает на RouterOS (CCR, hEX,
RB1100AHx4 Dude Edition, CHR)
• Клиент для Windows (работает в Linux и OS X с
использованием Wine)
• Для получения дополнительной информации см.
• The Dude wiki page
336 +38 097 364 96 43

The Dude
337 +38 097 364 96 43

Поддержка
• Чтобы поддержка MikroTik могла помочь лучше, нужно
сделать несколько шагов заранее.
• Создать выходной файл поддержки (supout.rif)
338 +38 097 364 96 43

Поддержка
• autosupout.rif может быть создан автоматически в случае
неисправности оборудования
• Управляется процессом - watchdog
• Перед отправкой в MikroTik содержимое выходного файла
поддержки можно просмотреть в вашей учетной записи
mikrotik.com
• Дополнительные сведения см. На страницах документации по
Support Output File и Watchdog
339 +38 097 364 96 43
System Logs
• По умолчанию RouterOS регистрирует
информацию о роутере.
• Хранится в памяти
• Может храниться на диске
• Или отправлено на удаленный сервер System → Logging
системного журнала
340 +38 097 364 96 43

System Logs
• Чтобы включить
подробные журналы
(отладка), создайте новое
правило
System → Logging → New
• Добавить топик debug Log Rule
341 +38 097 364 96 43

Contacting Support
• Перед тем, как связаться с support@mikrotik.com проверьте
следующие ресурсы
• wiki.mikrotik.com – Документация RouterOS и примеры
• forum.mikrotik.com – общение с другими пользователями
RouterOS
• mum.mikrotik.com – Страница MikroTik User Meeting -
видеопрезентации
342 +38 097 364 96 43

Contacting Support
• Рекомендуем добавлять содержательные комментарии к
своему запросу
• Опишите как можно подробнее, чтобы служба поддержки
MikroTik могла помочь Вам
• Желательно отправить схему Вашей сети
• Для получения дополнительной информации заходите на
страницу поддержки
343 +38 097 364 96 43

Сертифицированные курсы MikroTik
mikrotik.com/training/about
344 +38 097 364 96 43
Экзамен
• При необходимости сбросьте конфигурацию маршрутизатора и восстановите из
резервной копии
• Убедитесь, что у вас есть доступ к обучающему порталу mikrotik.com
• Войдите в свою учетную запись
• Проверить имя в настройках аккаунта
• Выберите my training sessions
• Удачи!
345 +38 097 364 96 43

MTCNA Mikrotik Ru Rev2022 01

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

MTCNA Mikrotik Ru Rev2022 01

Загружено:

Авторское право:

Доступные форматы

Certified Network Associate

+38 097 364 96 43

Меня зовут Vadim Scornici

2 +38 097 364 96 43

3 +38 097 364 96 43

• Практическое обучение настройке маршрутизатора

4 +38 097 364 96 43

5 +38 097 364 96 43

7 +38 097 364 96 43

8 +38 097 364 96 43

9 +38 097 364 96 43

• Еда, напитки и место обеда

• Правила поведения во время курса

10 +38 097 364 96 43

11 +38 097 364 96 43

12 +38 097 364 96 43

13 +38 097 364 96 43

14 +38 097 364 96 43

15 +38 097 364 96 43

• От небольших домашних маршрутизаторов до

17 +38 097 364 96 43

Switches 18 +38 097 364 96 43

19 +38 097 364 96 43

20 +38 097 364 96 43

21 +38 097 364 96 43

22 +38 097 364 96 43

23 +38 097 364 96 43

24 +38 097 364 96 43

25 +38 097 364 96 43

• Доступен как из WinBox, так и из WebFig

• Более подробно описано в курсе «Введение в MikroTik

26 +38 097 364 96 43

27 +38 097 364 96 43

28 +38 097 364 96 43

29 +38 097 364 96 43

30 +38 097 364 96 43

In WinBox: Interfaces menu

32 +38 097 364 96 43

33 +38 097 364 96 43

35 +38 097 364 96 43

36 +38 097 364 96 43

38 +38 097 364 96 43

39 +38 097 364 96 43

Wireless → Security Profiles

40 +38 097 364 96 43

Инструмент “Scan…” можно использовать для

42 +38 097 364 96 43

Session → Close all windows

Session → Close all windows

45 +38 097 364 96 43

46 +38 097 364 96 43

47 +38 097 364 96 43

48 +38 097 364 96 43

49 +38 097 364 96 43

System → Packages → Check For Updates

• Перетащите (Drag & drop) обновление в окно WinBox

51 +38 097 364 96 43

52 +38 097 364 96 43

• Детали на packages wiki page

54 +38 097 364 96 43

55 +38 097 364 96 43

56 +38 097 364 96 43

57 +38 097 364 96 43