⚙️ Konfiguracja MikroTik przez CLI – od zera do działania
Konfiguracja urządzenia MikroTik może wydawać się na początku wyzwaniem, zwłaszcza dla osób przyzwyczajonych do interfejsów graficznych. Jednak konsola CLI (Command Line Interface) daje pełną kontrolę, precyzję i szybkość działania – kluczowe zalety w środowiskach produkcyjnych i profesjonalnych wdrożeniach sieci. Ten poradnik krok po kroku przeprowadzi Cię przez pełną konfigurację MikroTik od zera, tylko z wykorzystaniem terminala.
🎯 Założenia wstępne
Zakładamy, że:
- MikroTik ma port
ether1jako WAN (połączenie z Internetem). - Port
ether2będzie portem LAN (do połączenia z siecią lokalną). - Urządzenie ma przydzielony dostęp konsolowy (bez WinBoxa).
- Internet uzyskujemy za pomocą DHCP od ISP.
- Chcemy mieć działające NAT, DHCP i dostęp z LAN.
🔌 Krok 1: Zerowanie konfiguracji
Jeśli pracujesz na używanym MikroTik’u, najlepiej zacząć od wyczyszczenia starej konfiguracji:
/system reset-configuration no-defaults=yes skip-backup=yes
Po restarcie, MikroTik będzie gotowy do czystej konfiguracji z poziomu CLI.
🌐 Krok 2: Konfiguracja interfejsów sieciowych
Sprawdź dostępne interfejsy:
/interface print
Załóżmy:
ether1– port do Internetuether2– port LAN
⚙️ Krok 3: Konfiguracja WAN – DHCP Client
Podłącz port ether1 do modemu/dostawcy i uruchom klienta DHCP:
/ip dhcp-client
add interface=ether1 use-peer-dns=yes use-peer-ntp=yes add-default-route=yes
Możesz sprawdzić, czy został przydzielony adres:
/ip dhcp-client print
🖧 Krok 4: Konfiguracja adresu IP dla LAN
Przypisz adres IP do interfejsu LAN (ether2):
/ip address
add address=192.168.88.1/24 interface=ether2
📦 Krok 5: Konfiguracja NAT – masquerade
Umożliwiamy klientom LAN dostęp do Internetu:
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
📡 Krok 6: Serwer DHCP dla klientów LAN
Tworzymy pulę IP, a następnie konfigurujemy serwer DHCP:
/ip pool
add name=lan-pool ranges=192.168.88.10-192.168.88.100
/ip dhcp-server
add name=dhcp-lan interface=ether2 address-pool=lan-pool lease-time=1h
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=8.8.8.8,1.1.1.1
Uruchom serwer DHCP:
/ip dhcp-server enable dhcp-lan
🔐 Krok 7: Konfiguracja firewall – podstawowe zabezpieczenia
Dodajemy kilka reguł dla bezpieczeństwa (odrzucenie ruchu spoza LAN):
/ip firewall filter
add chain=input in-interface=ether1 action=drop comment="Drop all WAN input"
🧪 Krok 8: Testowanie działania
Z komputera podłączonego do ether2 sprawdź:
- Czy otrzymujesz adres IP z DHCP?
- Czy możesz pingować Internet (
ping 8.8.8.8)? - Czy możesz wejść na strony WWW?
🧭 Krok 9: Konfiguracja dostępu do WinBoxa lub SSH
Jeśli chcesz zarządzać MikroTik’iem przez GUI (WinBox), możesz włączyć dostęp:
/ip service enable www
/ip service enable winbox
Lub dla bezpiecznego zdalnego dostępu:
/ip service enable ssh
Ustawienie silnego hasła:
/user set admin password=TwojeSuperHaslo123!
🛠️ Krok 10: Zabezpieczenia i dobre praktyki
- Zmień domyślnego użytkownika „admin” lub dodaj nowego z ograniczeniami.
- Zablokuj nieużywane usługi (
telnet,ftp,api,api-ssl). - Ogranicz dostęp do interfejsów zarządzających tylko z LAN:
/ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=8291 action=drop comment="Blokuj WinBox z WAN"
📋 Podsumowanie – co osiągnęliśmy?
| Krok | Działanie | Komenda CLI |
|---|---|---|
| 1 | Reset konfiguracji | /system reset-configuration |
| 2 | Adres IP WAN z DHCP | /ip dhcp-client |
| 3 | Adres IP LAN statyczny | /ip address |
| 4 | NAT do Internetu | /ip firewall nat |
| 5 | DHCP serwer dla klientów | /ip dhcp-server |
| 6 | Podstawowy firewall | /ip firewall filter |
| 7 | Aktywacja usług zarządzania | /ip service |
📌 Wnioski
Konfiguracja MikroTik przez CLI jest nie tylko możliwa, ale wręcz preferowana w środowiskach profesjonalnych. Terminal daje pełną kontrolę, skraca czas wdrożeń, pozwala kopiować konfiguracje i automatyzować procesy. Nawet jeśli jesteś fanem WinBoxa – znajomość CLI to inwestycja, która procentuje.
Jak działa ND Proxy na MikroTik dla IPv6? 🌐 Wprowadzenie IPv6 znacząco różni się od IPv4 nie tylko pod względem Czytaj dalej
MikroTik – kompleksowa konfiguracja sieci od podstaw do zaawansowanych rozwiązań Część 27: Integracja MikroTik z MISP – własny system Threat Czytaj dalej
