Mikrotik dla początkujących: pierwsza konfiguracja bez bólu

Co to jest Mikrotik i do czego się nadaje

RouterOS i sprzęt Mikrotik – krótkie rozróżnienie

Mikrotik to z jednej strony sprzęt sieciowy (routery, access pointy, urządzenia LTE), a z drugiej – RouterOS, czyli system operacyjny, który na tym sprzęcie działa. Rozdzielenie tych dwóch pojęć ułatwia zrozumienie, co właściwie się konfiguruje.

RouterOS to pełnoprawny system sieciowy: obsługuje routowanie, firewall, NAT, VPN-y, QoS, hotspot, CAPsMAN i wiele innych funkcji. Pod względem możliwości jest bliżej „dużych” systemów sieciowych (Cisco, Juniper) niż typowego domowego routera. Dla początkującego użytkownika to jednocześnie zaleta i źródło chaosu – opcji jest bardzo dużo, a nazewnictwo bywa mało przyjazne.

Urządzenia Mikrotik mają wgrany RouterOS fabrycznie, więc nie trzeba niczego instalować. W praktyce konfigurujesz system RouterOS działający na pudełku opisanym jako hAP, Audience czy RB4011. To ważne, bo większość poradników (także ten) odnosi się do nazw modułów RouterOS: IP → Addresses, Interfaces, Bridge, Wireless itp., które są takie same na różnych modelach sprzętu.

Warto mieć w głowie taki obraz: sprzęt = porty i radio Wi‑Fi, RouterOS = mózg, który tym zarządza. Jeśli rozumiesz, że zmieniając konfigurację w RouterOS decydujesz, jak te porty mają działać (np. który jest WAN, a które są LAN), to połowa drogi za tobą.

Czym Mikrotik różni się od typowego routera domowego

Typowy router z marketu ma prosty panel WWW, kilka zakładek i kilka przełączników: nazwa Wi‑Fi, hasło, czasem port forwarding. Mikrotik z RouterOS ma pełną kontrolę nad praktycznie każdym szczegółem transmisji. To oznacza, że:

• nie ma jednego „magicznego” kreatora, który zrobi wszystko za ciebie,
• zamiast „zaawansowanych ustawień” jest po prostu cały system – trzeba go poznać choćby w minimalnym zakresie,
• łatwo popełnić błąd, który odetnie cię od urządzenia (np. usunięcie bridge’a, zmiana IP bez dostosowania DHCP).

Z drugiej strony, jeśli konfiguracja Mikrotika zostanie ułożona raz, pracuje stabilnie przez lata i daje ogromną elastyczność. Możesz mieć kilka sieci Wi‑Fi (gościnna, pracownicza), proste VLAN-y, ograniczenie pasma dla wybranych urządzeń czy dostęp VPN dla siebie – wszystko na jednym routerze, bez dokładania kolejnych „pudełek”.

Dla kogoś, kto do tej pory klikał tylko w panelu prostego routera, RouterOS będzie z początku gęsty. Jednak przy podejściu krok po kroku (WAN → LAN → DHCP → NAT → Wi‑Fi → firewall) konfiguracja Mikrotika przestaje być „czarną magią” i staje się powtarzalnym procesem.

Typowe modele Mikrotik dla początkujących

Dla pierwszego kontaktu ze światem Mikrotika opłaca się wybrać sprzęt, który:

• nie jest przesadnie drogi,
• ma wbudowane Wi‑Fi,
• ma kilka portów Ethernet, aby spokojnie spięć dom lub małe biuro.

Najczęściej spotykane, sensowne urządzenia dla początkujących to:

• hAP ac² / hAP ax² – kompaktowe routery z Wi‑Fi (odpowiednio AC lub AX), kilka portów Ethernet, wystarczające do domu lub małego biura.
• Audience – bardziej „ładny” sprzęt, często stosowany w domach, z naciskiem na Wi‑Fi mesh.
• Seria RB (np. RB4011) – mocniejsze routery, częściej bez wbudowanego lub z bardzo prostym Wi‑Fi, raczej do zastosowań biurowych, gdzie często i tak używa się osobnych punktów dostępowych.

Dla pierwszej konfiguracji w mieszkaniu lub niewielkim biurze w zupełności wystarcza model z serii hAP. Urządzenie ma rozsądny stosunek mocy do ceny, a jednocześnie pozwala przećwiczyć praktycznie wszystkie funkcje przydatne w codziennej sieci.

Gdzie Mikrotik ma sens, a gdzie lepiej zostać przy „plug and play”

Router Mikrotik ma największy sens, gdy:

• chcesz mieć większą kontrolę nad siecią niż daje typowy router ISP,
• masz kilka podsieci lub planujesz je wprowadzić (sieć gościnna, sieć IoT),
• używasz pracy zdalnej, potrzebujesz VPN lub zdalnego dostępu do plików/kamer,
• masz małe biuro i chcesz rozdzielić ruch pracowników, gości, urządzeń technicznych.

Kiedy prosty router jest wystarczający? Zwykle wtedy, gdy:

• masz jedno łącze, kilka urządzeń w domu,
• nie potrzebujesz żadnych wydziwionych scenariuszy, VLAN-ów, VPN-ów,
• nie masz czasu (ani chęci) na choćby podstawowe poznanie interfejsu RouterOS.

Przykład z praktyki: małe biuro rachunkowe z kilkoma pracownikami i drukarką sieciową. Właściciel chce mieć stabilny internet, odseparować Wi‑Fi dla gości i mieć możliwość zdalnego łączenia się do komputera w biurze. W takim przypadku Mikrotik pozwoli spokojnie zestawić sieć z podziałem na VLAN-y lub osobne bridge’e, z sensownym firewallem i VPN, bez dokładania trzech dodatkowych urządzeń. Z kolei pojedynczy użytkownik w kawalerce, korzystający wyłącznie z Netflixa, zwykle nie odczuje różnicy między prostym routerem „z pudełka” a dobrze skonfigurowanym Mikrotikiem – chyba że łącze jest specyficzne i wymaga niestandardowej konfiguracji.

Przygotowanie do pierwszej konfiguracji

Co sprawdzić przed podłączeniem urządzenia Mikrotik

Zanim podłączysz nowy router Mikrotik, warto poukładać kilka faktów. W praktyce oszczędza to dużo czasu i nerwów. Najważniejsze elementy to:

• Rodzaj łącza od operatora – czy korzystasz z:
  • dynamicznego IP (DHCP na porcie WAN),
  • PPPoE (login i hasło otrzymane od operatora),
  • stałego IP (słownie podany adres, maska, brama, DNS).
• Czy operator dostarcza własny router – jeśli tak, czy możesz przełączyć go w tryb bridge (modem) czy musisz żyć z tzw. podwójnym NAT-em.
• Planowana adresacja LAN – podstawowa decyzja typu „moja sieć domowa będzie w 192.168.10.0/24, router 192.168.10.1”.

Operator zwykle podaje w umowie lub panelu klienta, jakiego typu jest łącze. W razie wątpliwości najprościej zadzwonić i zapytać: „Czy internet na routerze końcowym jest po DHCP, PPPoE, czy z adresem statycznym? Potrzebuję do własnego routera”. To pozwala uniknąć zgadywania w RouterOS.

Jeśli operator dostarcza już swój router, dobrze jest ustalić, czy może on pracować w trybie bridge. Wtedy Mikrotik dostaje „czyste” publiczne IP i pełną kontrolę nad siecią. Gdy nie ma takiej opcji, pozostaje konfiguracja Mikrotika „za” routerem operatora – to działa, ale powstaje double NAT, co może utrudniać niektóre aplikacje (np. gry online, niektóre typy VPN).

Fizyczne podłączenie: port WAN, porty LAN, zasilanie i PoE

Podstawowy schemat jest z reguły taki sam, niezależnie od modelu:

• kabel od operatora (modem, ONT, media konwerter) trafia do portu WAN (na wielu modelach jest oznaczony „Internet” lub „WAN”, na innych trzeba sprawdzić w instrukcji, który port jest domyślnym WAN),
• komputery, switche, access pointy podłączasz do portów LAN,
• router podłączasz do zasilania (zasilacz lub PoE – zależnie od modelu).

Część urządzeń Mikrotik obsługuje PoE (Power over Ethernet) – wówczas zasilanie może iść jednym kablem UTP. Możliwe scenariusze:

• PoE IN – router może być zasilany przez kabel z innego urządzenia (np. switcha PoE),
• PoE OUT – router może zasilać inne urządzenie (np. access point na suficie).

Na start lepiej jednak nie komplikować konfiguracji PoE. W pierwszej konfiguracji skup się na prostym scenariuszu: klasyczny zasilacz do gniazdka, kabel z internetu do WAN, komputer do jednego z portów LAN.

Jeżeli router ma już jakąś konfigurację fabryczną, po podłączeniu komputera do LAN zwykle dostaniesz automatycznie adres IP i dostęp do internetu (w prostych scenariuszach). Dla pełnej kontroli rozsądnie jest jednak przejść cały proces „od zera” lub przynajmniej dokładnie przejrzeć i zrozumieć aktualne ustawienia.

Dostępne tryby podłączenia: Winbox, WWW (WebFig), konsola

RouterOS można konfigurować na kilka sposobów. Dla początkujących najwygodniejsze są dwa:

• Winbox – aplikacja na Windows (działa też przez Wine na Linuxie),
• WebFig – panel WWW dostępny przez przeglądarkę.

Winbox daje pełny dostęp do konfiguracji, szybki podgląd logów, łatwe filtrowanie, kopiowanie, import/export. Co do zasady jest to najwygodniejsze narzędzie do nauki RouterOS. Ma też jedną istotną funkcję: dostęp przez MAC address, czyli bez konieczności posiadania adresu IP routera. To bardzo pomaga, gdy przypadkiem utracisz konfigurację IP na LAN.

WebFig (panel WWW) jest przydatny, gdy nie chcesz instalować nic na komputerze lub pracujesz na systemie bez Winboxa i Wine. Działa poprawnie, ale bywa mniej responsywny przy większych konfiguracjach. Funkcje są zasadniczo te same, choć czasem inaczej rozmieszczone.

Dostęp przez konsolę (port szeregowy, SSH, Telnet) przydaje się w bardziej zaawansowanych przypadkach i do automatyzacji. Na początku wystarczające będą Winbox i WebFig.

Dostęp przez MAC vs IP – konsekwencje dla diagnostyki

Winbox pozwala zalogować się do routera na dwa sposoby:

• przez adres IP – wymagany jest poprawny adres IP routera i trasa sieciowa między komputerem a routerem,
• przez adres MAC – Winbox rozgłasza zapytanie w sieci lokalnej i próbuje połączyć się z urządzeniem na poziomie warstwy 2 (Ethernet).

Dostęp przez MAC ma kilka praktycznych plusów:

• działa, nawet jeśli DHCP jest wyłączone lub źle skonfigurowane,
• nie wymaga znajomości adresu IP routera,
• pozwala „odzyskać” router po błędnym ustawieniu adresacji.

Minusem jest to, że MAC Winbox działa tylko w tej samej sieci fizycznej (na tym samym segmencie Ethernet) – nie przejdzie przez routery. W diagnostyce problemów z LAN/Adresacją zwykle pierwszym krokiem jest próba połączenia po MAC. Jeżeli to działa, ale IP nie – wiadomo, że problem leży w warstwie IP, nie w kablu czy porcie fizycznym.

Co zrobić z routerem operatora – bridge czy podwójny NAT

Jeżeli od operatora masz już własny router, pojawia się kwestia: jak go połączyć z Mikrotikiem. Zwykle są trzy scenariusze:

1. Tryb bridge – router operatora działa tylko jako modem, nie robi NAT, nie rozdaje adresów LAN. Mikrotik dostaje publiczne IP na WAN i pełną kontrolę nad siecią. To scenariusz najbardziej „czysty”.
2. DMZ / „wszystko na jeden host” – jeśli operator nie pozwala na bridge, czasem można skierować cały ruch przychodzący do jednego adresu IP (WAN Mikrotika). Ułatwia to przekierowania portów, choć NAT nadal jest podwójny.
3. Podwójny NAT (double NAT) – router operatora udostępnia internet po DHCP, Mikrotik też ma własny NAT. To działa dla większości codziennych zastosowań, ale może komplikować niektóre usługi przychodzące z internetu.

Na etapie pierwszej konfiguracji nie ma sensu walczyć z każdym operatorem o bridge za wszelką cenę. Wiele osób zaczyna od podwójnego NAT i przechodzi na bridge, gdy zajdzie realna potrzeba (np. własny serwer dostępny z internetu, specyficzny VPN czy zaawansowane gry sieciowe). Kluczowe jest, aby mieć świadomość, z którym scenariuszem ma się do czynienia, i odpowiednio dobierać konfigurację WAN po stronie Mikrotika.

Pierwsze logowanie i zrozumienie interfejsu RouterOS

Logowanie do Mikrotika i pierwsze decyzje dotyczące hasła

Po podłączeniu komputera do portu LAN i uruchomieniu Winboxa w zakładce „Neighbors” powinno pojawić się urządzenie Mikrotik. W typowym stanie fabrycznym logujesz się na:

• Login: admin
• Hasło: (puste)

Już na tym etapie pojawia się istotna kwestia bezpieczeństwa. Router bez hasła administracyjnego jest narażony na przejęcie, zwłaszcza jeśli interfejs zarządzania będzie dostępny z internetu. W RouterOS 7 system podczas pierwszego logowania zwykle wymusza ustawienie hasła – i to jest bardzo rozsądne podejście.

Nadawanie hasła i podstawowe zasady bezpieczeństwa dostępu

Po pierwszym zalogowaniu ustaw od razu mocne hasło dla użytkownika admin lub – co jest podejściem bezpieczniejszym – utwórz własnego użytkownika administracyjnego i konto admin wyłącz. W uproszczeniu proces wygląda następująco (Winbox/WebFig):

• przejdź do System → Users,
• dodaj nowego użytkownika z grupą full (pełne uprawnienia),
• zaloguj się ponownie na nowego użytkownika,
• konto admin ustaw jako disabled lub zmień mu hasło na inne, którego nie używasz nigdzie indziej.

Na początku kusi, aby wpisać krótkie hasło „na czas konfiguracji” i „potem się to ogarnie”. Z doświadczenia: zwykle nic się później nie ogarnia, router zaczyna działać i temat znika z głowy. Dlatego lepiej poświęcić te kilka minut od razu.

Dodatkowym środkiem ostrożności jest ograniczenie dostępu administracyjnego tylko do sieci lokalnej. W IP → Services możesz wyłączyć np. Telnet i FTP (praktycznie niepotrzebne), pozostawić Winbox i ewentualnie HTTP/HTTPS, a także zawęzić listę adresów, z których logowanie jest dopuszczalne (pole Available From).

Omówienie głównych sekcji interfejsu RouterOS

Po zalogowaniu interfejs może sprawiać wrażenie przeładowanego. Pomaga krótkie uporządkowanie, co gdzie jest. W Winboxie po lewej widnieje drzewo menu. Najistotniejsze elementy przy pierwszej konfiguracji to:

• Interfaces – lista portów fizycznych (Ethernet, SFP) i logicznych (VLAN, bridge, Wi‑Fi),
• Bridge – łączenie wielu interfejsów w jedną logiczną sieć (typowy LAN),
• IP → Addresses – adresy IP przypisane do interfejsów,
• IP → DHCP Server – serwer DHCP dla sieci lokalnej,
• IP → Pool – pule adresowe wykorzystywane przez DHCP, VPN itd.,
• IP → Routes – tablica routingu, czyli informacja, którędy wychodzi ruch do internetu i innych sieci,
• IP → Firewall – reguły NAT (maskarada) i filtrowania ruchu,
• Wireless lub WiFi – konfiguracja modułu radiowego (w zależności od wersji RouterOS i modelu),
• System → Identity – nazwa urządzenia w sieci,
• System → Packages / System → RouterBOARD – informacje o wersji systemu i aktualizacjach.

Menu jest rozbudowane, ale większość codziennych działań sprowadza się do kilku powyższych pozycji. Z czasem dochodzą kolejne (np. Queues do kolejkowania ruchu), jednak przy pierwszej konfiguracji lepiej nie rozpraszać się dodatkowymi opcjami.

Konfiguracja od zera czy modyfikacja ustawień fabrycznych

Nowy Mikrotik często ma wgrany tzw. quick set lub prostą konfigurację domową (LAN, DHCP, NAT, czasem Wi‑Fi). Możliwe są dwa podejścia:

• Praca na konfiguracji fabrycznej – delikatnie ją dostosowujesz (zmiana adresacji, hasła Wi‑Fi, nazwy sieci),
• Reset i konfiguracja ręczna – usuwasz fabryczne ustawienia i budujesz wszystko krok po kroku.

Dla pierwszego kontaktu z RouterOS rozsądniejszy bywa wariant pośredni: przejrzeć dokładnie konfigurację fabryczną, zrozumieć, co już jest ustawione, a następnie zmienić tylko to, co konieczne (np. podsieć LAN, hasło Wi‑Fi, typ WAN). Dopiero, gdy pojawi się konkretna potrzeba lub chęć pełnej kontroli, opłaca się wykonać reset z opcją no default configuration i wykonać konfigurację od podstaw.

Podstawowa diagnostyka – logi, ping i torch

Pracując z Mikrotikiem, dobrze mieć pod ręką kilka podstawowych narzędzi diagnostycznych:

• Log (System → Log) – pokazuje komunikaty systemowe, np. błędy PPPoE, odnowienia DHCP na WAN, restart interfejsów,
• Ping (Tools → Ping) – testuje, czy router widzi bramę operatora, serwery DNS albo konkretne hosty w internecie,
• Traceroute – pozwala sprawdzić, na którym etapie ginie ruch (LAN, operator, dalej),
• Torch (Tools → Torch lub w zakładce interfejsu) – podgląd bieżącego ruchu na wybranym interfejsie.

Przykładowy scenariusz: internet „nie działa”. Najpierw pingujesz z routera adres bramy operatora lub publiczny serwer DNS (np. 1.1.1.1). Jeżeli odpowiedzi są, a komputer w sieci nadal nie ma internetu, jasne staje się, że problem leży w LAN (adresacja, DNS dla klientów), a nie w połączeniu Mikrotik–operator.

Ustawienie dostępu do Internetu (WAN)

Identyfikacja portu WAN w interfejsach

Przed konfiguracją samego łącza trzeba precyzyjnie ustalić, który interfejs odpowiada za WAN. W niektórych modelach jest domyślnie oznaczony (np. ether1-WAN), w innych widać tylko ether1, ether2 itd. W oknie Interfaces:

• sprawdź, na którym porcie pojawia się R (running) po podłączeniu kabla od operatora,
• opcjonalnie zmień nazwę interfejsu na bardziej opisową, np. wan albo ether1-wan.

Takie drobne zabiegi porządkują konfigurację i później ograniczają pomyłki, zwłaszcza gdy router ma wiele portów i dodatkowe VLAN-y.

WAN z dynamicznym IP (DHCP Client)

Jeżeli operator przydziela adres dynamicznie (najczęstsza sytuacja w domowych łączach), konfiguracja sprowadza się do uruchomienia klienta DHCP na interfejsie WAN. W uproszczeniu:

1. wejdź w IP → DHCP Client,
2. dodaj nowy wpis (+),
3. w polu Interface wybierz port WAN,
4. pozostaw zaznaczone Use Peer DNS (router skorzysta z DNS-ów operatora) oraz Use Peer NTP (czas z serwerów NTP, jeśli są podawane),
5. zastosuj i zatwierdź (Apply/OK).

Po chwili w zakładce Status powinien pojawić się przydzielony adres IP, maska i brama. Jeżeli ich nie ma, trzeba rozstrzygnąć, czy problem leży po stronie operatora (brak sygnału, błędne VLAN-y w sieci dostawcy), czy po stronie Twojej konfiguracji (np. zła wtyczka wpięta w nie ten port).

WAN z PPPoE (login i hasło)

Przy łączach typu PPPoE (np. część łączy światłowodowych, niektórzy operatorzy osiedlowi) konieczne jest podanie loginu i hasła. W RouterOS robi się to przez interfejs PPPoE Client:

1. wejdź w PPP (lub Interfaces → PPP, zależnie od wersji Winboxa),
2. dodaj PPPoE Client,
3. w polu Interface wybierz fizyczny port WAN (np. ether1-wan),
4. w zakładce Dial Out wpisz User i Password z umowy z operatorem,
5. zaznacz Add Default Route, aby automatycznie dodać trasę domyślną przez PPPoE,
6. zapisz ustawienia i sprawdź w zakładce Status, czy sesja PPPoE jest zestawiona (stan „connected”).

Adres IP nadawany jest wówczas bezpośrednio na interfejs PPPoE, a nie na Ethernet, dlatego w IP → Addresses nie pojawi się nowy wpis dla ether1 – będzie za to widoczny interfejs PPPoE z przypisanym adresem.

STAŁY adres IP na WAN (IP statyczne)

Jeżeli od operatora otrzymałeś konkretny adres IP, maskę, bramę i DNS, konfiguracja przebiega dwuetapowo:

1. w IP → Addresses dodajesz adres IP na interfejsie WAN,
2. w IP → Routes konfigurujesz trasę domyślną (bramę operatora).

Przykładowo, dane od operatora:

• IP: 203.0.113.10,
• Maska: 255.255.255.248 (/29),
• Brama: 203.0.113.9,
• DNS: 8.8.8.8, 8.8.4.4.

W RouterOS:

• IP → Addresses: dodajesz 203.0.113.10/29 na interfejsie WAN,
• IP → Routes: dodajesz nową trasę z Dst. Address = 0.0.0.0/0 i Gateway = 203.0.113.9,
• IP → DNS: ustawiasz adresy DNS przypisane przez operatora lub inne publiczne, opcjonalnie zaznaczasz Allow Remote Requests, jeżeli router ma świadczyć usługi DNS dla klientów LAN.

Taki scenariusz bywa wykorzystywany również wtedy, gdy operator przydziela całą małą pulę adresów publicznych. Mikrotik może wtedy korzystać z jednego adresu na sam WAN, a pozostałe wykorzystywać np. do przekierowań na serwery wewnętrzne.

Konfiguracja WAN za routerem operatora (podwójny NAT)

Gdy Mikrotik działa za routerem operatora, port WAN zwykle otrzymuje adres prywatny (np. 192.168.0.x) przez DHCP. Z punktu widzenia RouterOS konfiguracja nie różni się od zwykłego łącza DHCP – aktywny klient DHCP na WAN, domyślna trasa i DNS-y. Różnica dotyczy tego, jak ruch jest widoczny „od strony internetu”.

Dla codziennego surfowania, VOD czy pracy zdalnej double NAT zwykle nie stanowi problemu. Więcej uwagi wymaga, gdy planujesz:

• dostęp do serwera w domu (NAS, kamera, Home Assistant) z zewnątrz,
• niektóre gry sieciowe i aplikacje P2P,
• tunelowanie VPN, szczególnie w trybie, w którym to Ty pełnisz rolę „serwera”.

W takich przypadkach trzeba konfigurować przekierowania portów zarówno na routerze operatora, jak i na Mikrotiku, albo rozważyć przełączenie modemu w tryb bridge, jeżeli operator na to pozwala.

Testowanie połączenia WAN z poziomu routera

Po skonfigurowaniu interfejsu WAN dobrze jest upewnić się, że to router ma dostęp do internetu. W Tools → Ping wpisz np.:

• adres bramy operatora – sprawdza połączenie w obrębie sieci dostawcy,
• adres IP znanego hosta (np. 1.1.1.1) – sprawdza również routing poza siecią operatora,
• adres domenowy (np. example.com) – dodatkowo weryfikuje działanie DNS.

Jeżeli ping na IP działa, ale na nazwę domenową już nie, trzeba przyjrzeć się ustawieniom w IP → DNS (czy router ma poprawne serwery DNS) oraz ewentualnie firewallowi, który mógłby blokować zapytania DNS wychodzące z routera.

Konfiguracja sieci lokalnej (LAN), DHCP i NAT

Tworzenie bridge i podłączanie portów LAN

W wielu konfiguracjach domowych wszystkie porty LAN powinny należeć do jednej sieci logicznej. Najłatwiej osiągnąć to poprzez interfejs bridge, który „zbiera” porty fizyczne i traktuje je jak jeden przełącznik.

1. Przejdź do Bridge i dodaj nowy bridge, np. o nazwie bridge-lan.
2. W zakładce Ports dodaj porty ether2, ether3, ether4 itd. jako porty należące do bridge-lan.
3. Jeżeli router ma Wi‑Fi, interfejs bezprzewodowy także można wpiąć do tego samego bridge’a, aby klienci Wi‑Fi byli w tej samej sieci co urządzenia przewodowe.

Następnie adres IP sieci lokalnej przypisujesz już nie na pojedynczym porcie, lecz na samym bridge’u. Dzięki temu niezależnie, czy komputer wpięty jest w ether2, czy ether3, trafi do tej samej podsieci LAN.

Ustalanie adresacji LAN i przypisanie IP do bridge

Podsieć LAN można dobrać praktycznie dowolnie z zakresu prywatnego, byle nie kolidowała z tym, co jest „po stronie operatora”. Przykładowy, często stosowany schemat:

• adresacja: 192.168.10.0/24,

Konfiguracja adresu IP na bridge oraz podstawowej trasy lokalnej

Dla przykładowej sieci 192.168.10.0/24 konfiguracja IP na bridge’u jest prosta, ale ma kilka konsekwencji, o których dobrze wiedzieć od początku.

1. Przejdź do IP → Addresses i dodaj nowy wpis (+).
2. W polu Address wpisz np. 192.168.10.1/24.
3. Jako Interface wybierz bridge-lan.
4. Zatwierdź (Apply/OK).

Adres 192.168.10.1 pełni teraz kilka ról jednocześnie:

• jest bramą domyślną dla urządzeń w LAN (to na ten adres klienci będą wysyłać ruch „do internetu”),
• jest adresem, pod którym logujesz się do routera z sieci lokalnej (Winbox, WebFig, SSH),
• jest punktem odniesienia dla niektórych usług, np. serwera DHCP.

Jeżeli wcześniej adres IP był przypisany do pojedynczego portu (np. ether2), a port został przeniesiony do bridge’a, rozsądnie jest usunąć starą adresację z portu fizycznego, aby uniknąć bałaganu i późniejszych kolizji.

Projektowanie zakresu DHCP dla klientów LAN

Kolejny krok to automatyczne przydzielanie adresów IP klientom w LAN. Serwer DHCP na Mikrotiku bywa konfigurowany „na szybko”, jednak odrobina porządku procentuje później, gdy sieć się rozrasta.

Dla podsieci 192.168.10.0/24 ogólny podział może wyglądać tak:

• 192.168.10.1 – adres routera (brama),
• 192.168.10.2–192.168.10.20 – adresy zarezerwowane na urządzenia o stałych IP (serwer plików, drukarka, kamera),
• 192.168.10.21–192.168.10.200 – pula adresów przydzielanych z DHCP,
• reszta – ewentualne rezerwy na przyszłość lub inne segmenty (np. goście, IoT).

Taki układ nie jest obowiązkowy, ale pomaga szybko zorientować się, co jest z czego przydzielane.

Uruchomienie serwera DHCP na Mikrotiku

RouterOS ma wygodny kreator DHCP, który minimalizuje ryzyko literówek w adresach. Kolejne kroki wyglądają następująco:

1. Przejdź do IP → DHCP Server i użyj przycisku DHCP Setup.
2. W polu DHCP Server Interface wybierz bridge-lan i kliknij Next.
3. W oknie z DHCP Address Space zwykle zostanie automatycznie podpowiedziane 192.168.10.0/24 – zatwierdź, jeżeli jest poprawne.
4. W następnym kroku zostanie zaproponowany Gateway for DHCP Network, zazwyczaj 192.168.10.1. Powinien odpowiadać adresowi przypisanemu do bridge’a.
5. Dalej ustawiany jest Address to Give Out – zakres puli DHCP. Można wpisać np. 192.168.10.21–192.168.10.200.
6. W kroku z DNS Servers podaj adresy DNS, z których mają korzystać klienci. To może być sam router (192.168.10.1, jeżeli w IP → DNS masz zaznaczone Allow Remote Requests), albo bezpośrednio serwery publiczne (np. 1.1.1.1, 8.8.8.8).
7. Na końcu kreator zapyta o Lease Time. Domyślna wartość (np. 10 minut lub 1 dzień) zwykle jest wystarczająca. Dłuższe dzierżawy oznaczają rzadsze odświeżanie adresów, krótsze – szybsze „zwalnianie” adresów po odłączeniu urządzeń.

Po zakończeniu kreatora serwer DHCP powinien zacząć przydzielać adresy urządzeniom podłączonym do LAN. W zakładce Leases widać listę aktywnych dzierżaw: kto (MAC), jaki adres IP dostał oraz czy wpis jest dynamiczny, czy statyczny.

Rezerwacje DHCP (lease static) dla stałych urządzeń

W praktyce zdarza się, że niektóre urządzenia powinny zawsze otrzymywać ten sam adres, ale nie chcesz wpisywać IP „na sztywno” w ich ustawieniach. Typowe przykłady to drukarki sieciowe, rejestratory CCTV, mikroserwer domowy.

Na Mikrotiku można to osiągnąć przez zamianę zwykłej dzierżawy na tzw. static lease:

1. W IP → DHCP Server → Leases znajdź urządzenie, które już dostało adres z DHCP.
2. Sprawdź, czy IP jest zgodne z Twoim planem (np. z końcówki puli lub wydzielonego fragmentu).
3. Kliknij prawym przyciskiem i wybierz Make Static (albo otwórz wpis i zmień typ na static).

Od tej chwili router zawsze przydzieli temu MAC-owi ten sam adres. Łatwiej wtedy konfigurować przekierowania portów czy reguły firewalla odwołujące się do konkretnego IP.

Aktywacja NAT (masquerade) dla całej sieci LAN

DHCP i adresacja LAN pozwalają urządzeniom się wzajemnie „widzieć”, ale aby uzyskały dostęp do internetu, Mikrotik musi tłumaczyć adresy prywatne na jeden (lub kilka) adresów publicznych po stronie WAN. W prostych konfiguracjach wystarcza jedna reguła typu masquerade.

Standardowe podejście wygląda następująco:

1. Przejdź do IP → Firewall → NAT i dodaj nową regułę (+).
2. W zakładce General ustaw:
   • Chain: srcnat,
   • Out. Interface: port WAN (np. ether1-wan lub interfejs PPPoE).
3. W zakładce Action wybierz masquerade.
4. Zapisz regułę.

W takiej konfiguracji każdy ruch wychodzący z routera „na zewnątrz” przez interfejs WAN będzie otrzymywać publiczny adres IP przypisany po stronie operatora. Dla domowej sieci w zupełności to wystarcza.

Jeżeli w przyszłości pojawi się więcej podsieci (np. sieć gościnna, VLAN-y), regułę NAT można doprecyzować, wskazując też Src. Address (np. 192.168.10.0/24), aby uniknąć niejasności, które sieci są objęte translacją.

Typowe problemy z LAN/DHCP/NAT i sposób ich diagnozy

W początkowym etapie konfiguracji mikrotika powtarzają się pewne błędy, zwykle wynikające z pośpiechu. Zamiast szukać przyczyny „gdzieś w RouterOS”, warto przejść kilka prostych kroków diagnostycznych.

• Brak adresu IP na komputerze – w systemie Windows polecenie ipconfig (lub ip a w Linuksie) pokaże, czy został przydzielony adres z Twojej podsieci. Jeżeli widzisz adres typu 169.254.x.x, to komputer nie dostał nic z DHCP: sprawdź, czy interfejs jest wpięty do właściwego portu (bridge-lan) i czy serwer DHCP działa na tym bridge’u.
• Adres IP jest, ale brak internetu – spróbuj z komputera spingować bramę, np. ping 192.168.10.1. Jeżeli brama nie odpowiada, problem jest w połączeniu LAN (kabel, port, VLAN, firewall lokalny na komputerze). Jeżeli brama odpowiada, spinguj z komputera 1.1.1.1. Jeśli ten ping nie działa, a z routera działa – przyjrzyj się regule NAT (czy dotyczy właściwego interfejsu i sieci).
• Internet działa na komputerze, ale niektóre strony się nie otwierają – problem może dotyczyć DNS lub MTU. Jeżeli ping po IP działa, a po nazwie już nie, wróć do IP → DNS oraz ustawień DNS w serwerze DHCP (czy klienci dostają poprawny adres serwera DNS).

Podstawowe reguły firewalla chroniące sieć LAN

Domyślne konfiguracje Mikrotika często zawierają wstępny zestaw reguł firewalla. Przy konfiguracji od zera dobrze jest zadbać o kilka zasad, które ograniczą niepotrzebną ekspozycję routera na świat.

Przykładowy, minimalistyczny zestaw dla łańcucha input (ruch skierowany do samego routera):

1. Zezwolenie na ruch z LAN do routera:
   • Chain: input,
   • Src. Address: 192.168.10.0/24,
   • Action: accept.
2. Zezwolenie na ruch związany z istniejącymi połączeniami:
   • Chain: input,
   • Connection State: established, related,
   • Action: accept.
3. Blokada pozostałego ruchu z WAN:
   • Chain: input,
   • In. Interface: wan (lub inny interfejs WAN),
   • Action: drop.

Taki układ powoduje, że router akceptuje ruch zarządzający z Twojej sieci lokalnej, zachowuje poprawne działanie odpowiedzi na połączenia wychodzące (np. ping z routera do internetu), a jednocześnie nie przyjmuje nowych połączeń „z ulicy”, chyba że dodasz do tego świadome wyjątki (np. dla VPN).

Wi‑Fi w Mikrotiku – praktyczna konfiguracja

Identyfikacja interfejsu bezprzewodowego i włączenie Wi‑Fi

W modelach z Wi‑Fi podstawą jest poprawne rozpoznanie, który interfejs odpowiada za radio. Zwykle będzie to coś w rodzaju wlan1, czasem wlan2 (drugie pasmo) albo nazwa startująca od wifi1 w nowszych urządzeniach.

1. Przejdź do Wireless (lub WiFi w nowszych wersjach) i upewnij się, że interfejs jest enabled (znaczek „R” po lewej stronie pojawia się, gdy radio jest aktywne i używane).
2. Jeżeli interfejs jest disabled, zaznacz go i użyj przycisku Enable.
3. W oknie właściwości interfejsu można od razu zmienić jego nazwę na bardziej opisową, np. wifi-home.

Interfejs Wi‑Fi powinien być dodany do tego samego bridge-lan, aby urządzenia bezprzewodowe były w tej samej sieci co przewodowe. W tym celu w Bridge → Ports dodajesz wlan1 (albo wifi1) jako kolejny port do bridge-lan.

Podstawowe ustawienia sieci bezprzewodowej (SSID, kraj, kanał)

Dobrze skonfigurowane radio to nie tylko hasło – istotne są też parametry pracy, takie jak kraj, moc nadawania czy kanał. Błędne ustawienia potrafią powodować niestabilności, mimo że „wszystko wygląda poprawnie”.

W zakładce Wireless (starsze urządzenia, np. serie hAP, cAP) lub WiFi → WiFi Interfaces (nowsze modele):

• Mode – dla typowego punktu dostępowego ustaw ap-bridge lub bridge. Tryb station służy do działania jako klient Wi‑Fi, więc w roli routera domowego będzie błędny.
• Band – dobierz zgodnie z możliwościami sprzętu i klientów, np. 2GHz-b/g/n dla pasma 2,4 GHz albo 5GHz-a/n/ac dla pasma 5 GHz.
• Country – wybierz kraj, w którym sprzęt jest używany. Router automatycznie dostosuje dozwolone kanały i moce nadawania zgodnie z regulacjami.
• SSID – nazwa sieci, którą zobaczą użytkownicy (np. Dom-WiFi). Można dodać sufiks odróżniający pasma, np. Dom-WiFi-2G i Dom-WiFi-5G.
• Channel Width – szerokość kanału (np. 20/40 MHz w 2,4 GHz czy 20/40/80 MHz w 5 GHz). Szerszy kanał to wyższa przepustowość, ale też większa podatność na zakłócenia.

W praktyce, na zatłoczonych osiedlach sensowniej jest zacząć od węższego kanału (20 MHz w 2,4 GHz) i ewentualnie zwiększać go po testach, zamiast od razu maksymalizować szerokość kosztem stabilności.

Konfiguracja zabezpieczeń Wi‑Fi (WPA2/WPA3, hasło)

Najczęściej zadawane pytania (FAQ)

Co to jest Mikrotik i czym różni się od zwykłego routera domowego?

Mikrotik to połączenie sprzętu sieciowego (routery, access pointy, urządzenia LTE) oraz systemu operacyjnego RouterOS, który na tym sprzęcie działa. Konfigurujesz w praktyce właśnie RouterOS, a sprzęt jest „nośnikiem” portów i radia Wi‑Fi.

W odróżnieniu od typowego routera domowego Mikrotik daje bardzo szczegółową kontrolę nad siecią: routowanie, firewall, NAT, VPN, QoS, VLAN-y, hotspot i wiele innych funkcji. Zwykle nie ma jednego kreatora „dalej, dalej, zakończ”, tylko pełnoprawny system, który trzeba choć w minimalnym stopniu poznać.

Efekt jest taki, że konfiguracja początkowo wydaje się gęsta i mało intuicyjna, ale po poukładaniu podstaw (WAN, LAN, DHCP, NAT, Wi‑Fi, firewall) router pracuje stabilnie latami i spokojnie zastępuje kilka prostszych urządzeń.

Jaki Mikrotik wybrać na początek do domu lub małego biura?

Dla początkującego użytkownika rozsądnym wyborem są modele z serii hAP, szczególnie hAP ac² lub hAP ax². Mają one wbudowane Wi‑Fi, kilka portów Ethernet i wystarczającą wydajność do typowego mieszkania lub niewielkiego biura.

Jeżeli zależy ci bardziej na estetyce i lepszym pokryciu Wi‑Fi w większym mieszkaniu, można rozważyć Mikrotik Audience, często używany w konfiguracjach mesh. Z kolei seria RB (np. RB4011) jest bardziej biurowa – oferuje większą moc obliczeniową, ale zwykle wymaga osobnych punktów dostępowych Wi‑Fi.

W praktyce, jeżeli to pierwszy kontakt z RouterOS i sieć nie jest skomplikowana, hAP ac²/ax² daje najlepszy stosunek prostoty, ceny i możliwości. Pozwala przećwiczyć typowe scenariusze bez kupowania „przerośniętego” sprzętu.

Czy Mikrotik ma sens w zwykłym domu, czy lepiej zostać przy routerze od operatora?

Mikrotik ma sens, gdy potrzebujesz czegoś więcej niż „internet działa”. Chodzi w szczególności o: kilka podsieci (np. sieć gościnna, sieć IoT), zdalny dostęp VPN, rozdzielenie ruchu w małym biurze, lepszą kontrolę nad dostępem do sieci czy limity pasma dla wybranych urządzeń.

Jeżeli korzystasz z jednego łącza, masz kilka urządzeń w mieszkaniu i nie planujesz żadnych bardziej zaawansowanych scenariuszy, router dostarczony przez operatora zwykle wystarcza. W takim przypadku dodatkowy Mikrotik może nie przynieść odczuwalnej różnicy, poza większą liczbą opcji do opanowania.

Typowy przykład z praktyki: w małym biurze rachunkowym Mikrotik pozwala rozdzielić Wi‑Fi dla pracowników i gości, odseparować drukarkę sieciową i zestawić bezpieczny VPN do pracy zdalnej – wszystko na jednym urządzeniu, bez dokładania kolejnych pudełek.

Co sprawdzić u operatora przed pierwszą konfiguracją Mikrotika?

Kluczowe jest ustalenie, w jaki sposób operator dostarcza internet na twoje urządzenie końcowe. Zwykle będzie to jedna z trzech opcji: dynamiczne IP (DHCP na porcie WAN), PPPoE (login i hasło), albo stały adres IP (konkretny adres, maska, brama i DNS-y podane „z palca”).

Najprościej zadzwonić do biura obsługi i zadać wprost pytanie: „Jakiego typu jest łącze na moim routerze końcowym: DHCP, PPPoE czy statyczne IP? Chcę podłączyć własny router”. Pozwala to uniknąć zgadywania w RouterOS i przypadkowego blokowania dostępu do internetu.

Dodatkowo warto ustalić, czy operator może przełączyć swój router w tryb bridge (modem). Jeżeli tak, Mikrotik dostanie publiczne IP i pełną kontrolę nad siecią. W przeciwnym razie trzeba liczyć się z tzw. podwójnym NAT-em, co czasem komplikuje np. gry online czy niektóre typy VPN.

Jak poprawnie podłączyć Mikrotika: który port to WAN, a które LAN?

Standardowy schemat wygląda podobnie na większości modeli. Kabel od operatora (modem, ONT, media konwerter) trafia do portu WAN, a urządzenia w sieci lokalnej (komputery, switche, access pointy) do portów LAN. Zasilanie podłączasz klasycznym zasilaczem lub – w wybranych modelach – poprzez PoE.

Na części urządzeń port WAN jest wyraźnie oznaczony jako „Internet” lub „WAN”, jednak na innych modelach trzeba to sprawdzić w instrukcji lub dokumentacji online. W konfiguracji RouterOS domyślny WAN jest zwykle wskazany w sekcji „Interfaces” oraz w regułach firewall/NAT.

Na etapie pierwszej konfiguracji najbezpieczniej jest użyć zwykłego zasilacza, kabel z internetu wpiąć do WAN, a komputer konfiguracyjny do jednego z portów LAN. Po ustabilizowaniu podstaw można dopiero bawić się z PoE IN/OUT czy bardziej złożonymi scenariuszami okablowania.

Jak połączyć się z Mikrotikiem po wyjęciu z pudełka – Winbox czy WWW?

Mikrotik pozwala na kilka sposobów dostępu do konfiguracji: przez aplikację Winbox (Windows), przez przeglądarkę WWW (WebFig) oraz przez konsolę (SSH, telnet, port szeregowy). Na start najczęściej używa się Winboxa albo panelu WWW.

W typowym scenariuszu podłączasz komputer do portu LAN, otrzymujesz adres IP z fabrycznego DHCP, a następnie:

• w przypadku Winboxa – wyszukujesz urządzenie po MAC lub IP na liście i logujesz się hasłem domyślnym lub pustym (w zależności od wersji),
• w przypadku WWW – wpisujesz w przeglądarce domyślny adres IP routera (np. 192.168.88.1) i logujesz się do WebFig.

Co do zasady Winbox jest wygodniejszy przy pierwszej konfiguracji, bo potrafi połączyć się po samym adresie MAC, nawet gdy błędnie ustawisz IP. Panel WWW jest natomiast bardziej „uniwersalny”, bo działa z dowolnego systemu z przeglądarką.

Czego początkujący najczęściej nieświadomie „psują” przy pierwszej konfiguracji Mikrotika?

Najczęstsze problemy wynikają z usunięcia lub niewłaściwej zmiany elementów, które spinały całość. Typowe przykłady to: skasowanie bridge’a, do którego były przypisane porty LAN, zmiana adresu IP routera bez dostosowania serwera DHCP albo nadpisanie reguł firewall bez zrozumienia ich działania.

Bezpiecznym podejściem jest modyfikowanie istniejącej konfiguracji krok po kroku, z zachowaniem możliwości powrotu (np. zapisanie eksportu konfiguracji przed większymi zmianami). Dobrą praktyką na start jest też trzymanie się prostego schematu: najpierw działający WAN, potem LAN z DHCP, następnie NAT, dopiero później Wi‑Fi i firewall.

Jeżeli cokolwiek pójdzie nie tak i stracisz dostęp po IP, w wielu przypadkach Winbox po MAC adresie pozwoli się jeszcze zalogować i naprawić konfigurację, bez konieczności resetowania routera do ustawień fabrycznych.

Źródła informacji

• RouterOS Documentation. MikroTik – Oficjalna dokumentacja funkcji RouterOS: routing, firewall, NAT, VPN, QoS
• MikroTik Product Catalog. MikroTik – Przegląd modeli hAP, Audience, RB4011 i innych urządzeń MikroTik
• Computer Networking: A Top‑Down Approach. Pearson (2021) – Podstawy sieci komputerowych: adresacja IP, podsieci, DHCP, NAT
• TCP/IP Illustrated, Volume 1: The Protocols. Addison‑Wesley (2011) – Szczegółowe omówienie protokołów IP, TCP, DHCP, PPPoE
• RFC 2131: Dynamic Host Configuration Protocol. Internet Engineering Task Force (1997) – Specyfikacja protokołu DHCP używanego w sieciach LAN/WAN
• Small Office/Home Office Network Design Guide. Cisco Systems – Praktyczne zalecenia dla projektowania małych sieci SOHO, VLAN, Wi‑Fi, VPN