Настройка MikroTik в режиме Wi-Fi точки доступа без DHCP: полное руководство

Настройка MikroTik в качестве точки доступа Wi-Fi без DHCP-сервера — популярное решение для расширения существующей сети без конфликтов IP-адресов. Такой сценарий актуален, когда основной маршрутизатор уже раздаёт адреса, а MikroTik должен работать как "прозрачный" мост, передавая трафик без дополнительной NAT-трансляции. Это позволяет избежать двойной маршрутизации, упрощает управление сетью и снижает нагрузку на оборудование.

В отличие от стандартного режима роутера, где MikroTik сам раздаёт IP-адреса клиентам, здесь устройство выступает исключительно как беспроводной коммутатор. Все клиенты получают адреса от основного DHCP-сервера (например, от провайдерского роутера или контроллера домена), а MikroTik лишь "прозрачно" передаёт их трафик. Это особенно удобно для офисных сетей, где требуется централизованное управление IP-адресацией, или для домашних сетей с несколькими точками доступа.

В этой статье мы разберём пошаговую настройку MikroTik (на примере моделей hAP ac², RB4011, RB951Ui-2HnD) в режиме Wi-Fi моста без DHCP, рассмотрим типичные ошибки и оптимизацию для стабильной работы. Все команды приведены для RouterOS v7.13+, но с учётом особенностей более ранних версий.

1. Подготовка оборудования и сеть: что нужно проверить до настройки

Перед тем как приступать к конфигурированию MikroTik, убедитесь, что ваша сеть готова к интеграции новой точки доступа. Основные требования:

🔌 Основной маршрутизатор уже раздаёт IP-адреса по DHCP и имеет свободные порты для подключения MikroTik.
📡 Wi-Fi каналы не пересекаются с соседними сетями (используйте 2.4 GHz каналы 1, 6, 11 или 5 GHz с DFS, если поддерживается).
🔄 Топология сети: MikroTik должен подключаться к основному роутеру через Ethernet (рекомендуется гигабитный порт).
⚡ Питание: для моделей с PoE (например, RB960PGS) проверьте совместимость с инжектором.

Если ваш MikroTik ранее использовался в другом режиме (например, как основной роутер), обязательно сбросьте его до заводских настроек. Это исключит конфликты конфигураций. Сброс выполняется:

/system reset-configuration no-defaults=yes skip-backup=yes

⚠️ Внимание: После сброса все предыдущие настройки (включая пароли и правила фаервола) будут утеряны. Если устройство используется в продуктивной сети, предварительно экспортируйте текущую конфигурацию командой /export file=backup.

Также проверьте, что на основном роутере отключён фильтр MAC-адресов (если используется) или добавьте MAC-адрес MikroTik в список разрешённых. В противном случае клиенты не смогут получить IP-адреса через новую точку доступа.

📊 Какую модель MikroTik вы настраиваете?

hAP ac²

RB4011

RB951Ui-2HnD

RB750Gr3

Другая

2. Базовая настройка интерфейсов: мост и IP-адрес

Первый шаг — создание моста (bridge), который объединит Ethernet-порт и Wi-Fi интерфейс в единую сеть. Это позволит трафику "прозрачно" передаваться между проводными и беспроводными клиентами без NAT.

Подключитесь к MikroTik через WinBox или SSH и выполните следующие команды:

Создайте мост и добавьте в него Ethernet-порт (обычно ether1):

/interface bridge add name=LocalBridge
/interface bridge port add bridge=LocalBridge interface=ether1

Назначьте мосту IP-адрес из подсети основного роутера (например, если основной роутер имеет адрес 192.168.1.1, назначьте 192.168.1.2):
```
/ip address add address=192.168.1.2/24 interface=LocalBridge
```
Отключите DHCP-клиент на мосту (если он был активирован ранее):
```
/ip dhcp-client disable [find interface=LocalBridge]
```

После этого MikroTik будет доступен по назначенному IP-адресу. Убедитесь, что вы можете подключиться к нему с другого устройства в сети (например, по ping 192.168.1.2).

⚠️ Внимание: Если вы используете MikroTik в сети с VLAN, создайте отдельный мост для каждого VLAN или настройте VLAN filtering на основном порту. В противном случае трафик разных сетей будет смешиваться.

Для проверки корректности настроек выполните:

/ping 192.168.1.1 count=3

Если пинги до основного роутера проходят — мост настроен верно.

☑️ Проверка базовой конфигурации

Мост LocalBridge созданEthernet-порт добавлен в мостIP-адрес назначен на мостDHCP-клиент отключёнПинги до основного роутера проходят

Выполнено: 0 / 5

3. Настройка Wi-Fi интерфейса: частота, канал и безопасность

Теперь перейдём к конфигурированию беспроводного интерфейса. В зависимости от модели MikroTik у вас может быть один или несколько Wi-Fi модулей (например, hAP ac² имеет два радиомодуля: wlan1 для 2.4 GHz и wlan2 для 5 GHz).

Базовые параметры для настройки:

Параметр	Рекомендуемое значение	Пояснение
`Band`	`2ghz-onlyn` или `5ghz-onlyn`	Выбор диапазона в зависимости от модели. Для `2.4 GHz` используйте `onlyn` для совместимости с устаревшими устройствами.
`Channel Width`	`20/40MHz Ce` (для 2.4 GHz) или `80MHz` (для 5 GHz)	Ширина канала влияет на скорость и стабильность. В загруженных сетях лучше использовать `20MHz`.
`Security Profile`	`WPA2-PSK` или `WPA3-PSK`	Используйте только AES-CCM для шифрования (не TKIP)! TKIP уязвим и снижает скорость.
`SSID`	Любое уникальное имя (например, `Office_WiFi_5G`)	Избегайте пробелов и специальных символов для совместимости со всеми устройствами.

Пример настройки для 2.4 GHz:

/interface wireless set [find default-name=wlan1] band=2ghz-onlyn channel-width=20/40MHz-Ce \
frequency=2412 disabled=no

/interface wireless security-profiles add name=Office_WiFi mode=dynamic-keys \
authentication-types=wpa2-psk,wpa3-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm \
wpa2-pre-shared-key="ВашСложныйПароль123"

/interface wireless set [find default-name=wlan1] security-profile=Office_WiFi \
ssid="Office_WiFi_2G" disabled=no

Для 5 GHz замените band=5ghz-onlyn и выберите канал из списка 5180-5825 (для России). Чтобы увидеть доступные каналы, выполните:

/interface wireless info country-info

4. Добавление Wi-Fi в мост: связываем беспроводной и проводной трафик

Чтобы клиенты Wi-Fi могли общаться с проводными устройствами (и наоборот), нужно добавить беспроводной интерфейс в ранее созданный мост LocalBridge. Это делается командой:

/interface bridge port add bridge=LocalBridge interface=wlan1

После этого все устройства, подключённые к Wi-Fi, будут получать IP-адреса от основного DHCP-сервера сети, как если бы они были подключены по кабелю. Чтобы проверить связность, подключитесь к новой Wi-Fi сети с телефона или ноутбука и выполните:

Проверьте, что получен IP-адрес из подсети основного роутера (например, 192.168.1.x).
Убедитесь, что есть доступ в интернет (например, ping 8.8.8.8).
Проверьте связность с другими устройствами в сети (например, ping 192.168.1.1).

Если клиенты не получают IP-адреса, проверьте:

🔗 Физическое подключение: кабель между MikroTik и основным роутером должен быть в исправном порту.
🔄 Настройки DHCP на основном роутере: убедитесь, что пул адресов не исчерпан.
🚫 Фаервол: на MikroTik не должно быть правил, блокирующих DHCP (порты 67 и 68).

⚠️ Внимание: Если вы используете MikroTik в сети с несколькими VLAN, необходимо настроить VLAN filtering на мосту и добавить Wi-Fi интерфейс в нужные VLAN. Без этого клиенты не смогут получить IP-адреса из правильной подсети.

5. Оптимизация производительности: мощность, роуминг и QoS

Чтобы Wi-Fi сеть работала стабильно, особенно в условиях высокой нагрузки (много клиентов или потоковое видео), рекомендуется настроить дополнительные параметры.

1. Мощность передачи (Tx Power)

По умолчанию MikroTik использует максимальную мощность, что может создавать помехи для соседних сетей. Оптимальные значения:

📶 Для 2.4 GHz: 17-20 dBm (достаточно для покрытия средней квартиры).
📶 Для 5 GHz: 20-23 dBm (более высокое затухание сигнала).

Установите мощность командой:

/interface wireless set [find default-name=wlan1] tx-power=17

2. Роуминг (802.11r/k/v)

Если у вас несколько точек доступа MikroTik, настройте быстрый роуминг для плавного перехода между ними:

/interface wireless set [find default-name=wlan1] \
mobility-domain="1234" \
fast-framing=yes \
wmm-support=enabled

Где mobility-domain — уникальный идентификатор для всех точек в сети (должен совпадать на всех устройствах).

3. Приоритизация трафика (QoS)

Чтобы приоритизировать голосовой трафик (VoIP) или видеоконференции, создайте очередь (Queue Tree):

/queue tree add name=VoIP parent=LocalBridge packet-mark=VoIP \
limit-at=10M max-limit=20M priority=1
/queue simple add name="VoIP Priority" target=192.168.1.0/24 \
dst-port=5060,10000-20000 packet-mark=VoIP

Что такое 802.11r/k/v?

Это стандарты для быстрого роуминга между точками доступа. 802.11r (Fast BSS Transition) сокращает время переподключения до 50 мс, 802.11k помогает клиентам выбирать лучшую точку, а 802.11v управляет нагрузкой. Для работы всех функций клиентские устройства также должны их поддерживать (большинство современных смартфонов и ноутбуков поддерживают).

6. Безопасность: защита от несанкционированного доступа

Настройка MikroTik как точки доступа без DHCP не отменяет необходимости защиты сети. Основные меры:

1. Отключите ненужные сервисы

По умолчанию MikroTik открывает доступ к WinBox, SSH и WebFig на всех интерфейсах. Ограничьте доступ только для локальной сети:

/ip service disable "telnet,ftp,tftp,api,api-ssl"

/ip service set "ssh,winbox,www,www-ssl" address=192.168.1.0/24

2. Настройте фаервол

Добавьте правила для блокировки нежелательного трафика:

/ip firewall filter add chain=forward action=drop protocol=tcp \
dst-port=135-139,445,3389 comment="Block SMB/RDP exploits"
/ip firewall filter add chain=forward action=drop protocol=udp \
dst-port=1900 comment="Block UPnP attacks"

3. Включите защиту от подбора пароля

Ограничьте количество попыток подключения к Wi-Fi:

/interface wireless set [find default-name=wlan1] \
security-profile=Office_WiFi \
authentication-types=wpa2-psk,wpa3-psk \
group-key-update=1h \
disable-running-check=no

4. Регулярно обновляйте RouterOS

Проверьте актуальность прошивки:

/system package update check-for-updates
/system package update install

⚠️ Внимание: Если вы используете MikroTik в публичной сети (например, в кафе или гостинице), дополнительно настройте HotSpot с авторизацией через SMS или соцсети. Это предотвратит несанкционированный доступ и позволит вести лог подключений.

7. Диагностика проблем: почему клиенты не подключаются к Wi-Fi

Если после настройки клиенты не могут подключиться к Wi-Fi или не получают IP-адрес, выполните следующие шаги диагностики:

1. Проверьте статус Wi-Fi интерфейса

Выполните команду:

/interface wireless registration-table print

Если в таблице нет подключённых клиентов, проблема может быть в:

🔑 Неправильном пароле или security-profile.
📡 Неверном канале или ширине канала (например, клиент не поддерживает 40MHz).
🚫 Блокировке MAC-адресов на основном роутере.

2. Проверьте связность моста

Убедитесь, что мост LocalBridge активен и включает оба интерфейса:

/interface bridge port print

Если wlan1 отсутствует в списке, добавьте его повторно.

3. Анализ логов

Посмотрите системные логи на ошибки:

/log print

Обратите внимание на сообщения вида could not connect to AP или authentication failed.

4. Тест с другого устройства

Попробуйте подключиться к Wi-Fi с другого телефона или ноутбука. Если проблема сохраняется — ошибка в настройках MikroTik. Если подключается только одно устройство — проблема на стороне клиента (например, устаревший драйвер Wi-Fi).

8. Альтернативные сценарии: гостевая сеть и несколько SSID

Если вам нужно разделить трафик (например, создать гостевую сеть с доступом только в интернет), используйте виртуальные AP и VLAN.

Сценарий 1: Два SSID на одном радиомодуле

Создайте второй виртуальный интерфейс для гостевой сети:

/interface wireless add master-interface=wlan1 name=wlan1-guest \
security-profile=Guest_WiFi ssid="Guest_WiFi" disabled=no

/interface wireless security-profiles add name=Guest_WiFi mode=dynamic-keys \
authentication-types=wpa2-psk unicast-ciphers=aes-ccm \
wpa2-pre-shared-key="GuestPassword123"

Сценарий 2: Изоляция гостевой сети через VLAN

Если гостям нужен доступ только в интернет, без доступа к локальной сети:

Создайте VLAN на мосту:

/interface vlan add interface=LocalBridge name=GuestVLAN vlan-id=10

Добавьте гостевой Wi-Fi в VLAN:

/interface bridge port add bridge=LocalBridge interface=wlan1-guest pvid=10

Настройте фаервол для блокировки доступа к локальной сети:
```
/ip firewall filter add chain=forward action=drop in-interface=GuestVLAN \
dst-address=192.168.1.0/24
```

Для гостевой сети также рекомендуется:

🔒 Использовать отдельный пул DHCP-адресов (например, 192.168.10.0/24).
⏱ Ограничивать скорость через Queue (например, 5M/5M на клиента).
📊 Вести лог подключений с помощью /tool sniffer.

⚠️ Внимание: При использовании VLAN убедитесь, что основной роутер поддерживает тегированный трафик. В противном случае гостевая сеть не будет иметь доступа в интернет.

FAQ: Частые вопросы по настройке MikroTik без DHCP

Можно ли использовать MikroTik в режиме моста без подключения к основному роутеру по кабелю?

Нет, в этом случае MikroTik не сможет передавать трафик клиентов в основную сеть. Для беспроводного моста (WDS) требуется отдельная настройка, где обе точки доступа должны поддерживать этот режим. В таком сценарии MikroTik всё равно не будет раздавать IP-адреса, но клиенты смогут подключаться к сети через Wi-Fi мосты.

Почему клиенты подключаются к Wi-Fi, но интернет работает медленно?

Причины могут быть следующими:

Перегрузка канала: проверьте загрузку канала командой /interface wireless registration-table print. Если много клиентов на 2.4 GHz, переключите часть из них на 5 GHz.
Низкая мощность сигнала: увеличьте tx-power или переместите точку доступа ближе к клиентам.
Проблемы на основном роутере: проверьте его загрузку и скорость интернет-соединения.
Неоптимальные настройки QoS: если включены очереди (Queue), они могут ограничивать скорость.

Также попробуйте отключить WMM Support в настройках Wi-Fi — иногда это ускоряет работу с устаревшими клиентами.

Как сделать так, чтобы MikroTik автоматически выбирал наименее загруженный канал?

В RouterOS v7+ есть функция automatic channel selection, но она работает не на всех моделях. Альтернативный вариант — скрипт, который раз в час проверяет загрузку каналов и переключается при необходимости:

:local bestChan 0
:local bestRssi -100
:foreach i in=[/interface wireless scan duration=300ms] do={
:if ([$i "rssi"] > $bestRssi) do={
:set bestRssi [$i "rssi"]
:set bestChan [$i "channel"]
}
}
/interface wireless set [find default-name=wlan1] frequency=$bestChan

Добавьте этот скрипт в System → Scripts и настройте его выполнение по расписанию.

Можно ли использовать MikroTik как повторятель (repeater) без DHCP?

Да, но это требует другой конфигурации. В режиме повторятеля MikroTik подключается к основной Wi-Fi сети как клиент и ретранслирует её. При этом:

🔄 DHCP-сервер по-прежнему остаётся на основном роутере.
📡 Скорость соединения снижается примерно вдвое (из-за ретрансляции трафика).
⚙ Настройка сложнее: нужно конфигурировать virtual AP и station mode одновременно.

Пример команды для подключения к основной сети:

/interface wireless connect ssid="Main_WiFi" security=wpa2-psk \
password="MainPassword" [find default-name=wlan1]

Затем создайте виртуальный AP для ретрансляции:

/interface wireless add master-interface=wlan1 name=wlan1-ap \
security-profile=Repeater_WiFi ssid="Repeater_WiFi" disabled=no

Как сбросить настройки MikroTik, если я потерял доступ?

Если вы потеряли доступ к MikroTik (например, из-за неверных настроек фаервола), выполните аппаратный сброс:

Выключите питание устройства.
Зажмите кнопку Reset (обычно рядом с портом питания).
Включите питание, удерживая кнопку Reset в течение 10-15 секунд, пока не замигает LED.
Отпустите кнопку — устройство сбросится к заводским настройкам.

После сброса подключитесь к MikroTik по MAC-адресу (он указан на корпусе) через WinBox в режиме Neighbors.