RouterOS jest systemem operacyjnym typu embedded, zaprojektowanym z myślą o wydajnym przetwarzaniu pakietów na platformach sprzętowych o ograniczonych zasobach. Jądro systemu zostało zmodyfikowane przez inżynierów MikroTik w celu optymalizacji obsługi stosu sieciowego, co pozwala osiągnąć wysoką przepustowość nawet na stosunkowo słabych układach MIPS i ARM. System obsługuje pełen zakres protokołów routingu dynamicznego, w tym OSPF, BGP i RIP, a także zaawansowane funkcje firewalla stateful i QoS.

RouterOS dostępny jest w kilku wariantach: jako oprogramowanie wbudowane w urządzenia RouterBoard, jako CHR (Cloud Hosted Router) dla platform wirtualizacyjnych takich jak VMware, Hyper-V i KVM, a także jako wersja x86 do instalacji na standardowym sprzęcie PC. Każdy z tych wariantów oferuje identyczną funkcjonalność, różniąc się jedynie wydajnością i dostępnymi interfejsami. Elastyczność wyboru platformy sprzętowej stanowi jedną z kluczowych zalet ekosystemu MikroTik.

Znajomość systemu RouterOS jest niezwykle cenna na rynku pracy ze względu na powszechność urządzeń MikroTik w małych i średnich przedsiębiorstwach oraz u dostawców usług internetowych. System ten stanowi ekonomiczną alternatywę dla rozwiązań Cisco, oferując przy tym porównywalny zestaw funkcji routingu, firewalla i zarządzania siecią. Kluczowym aspektem omawianym w prezentacji jest kontrast pomiędzy konfiguracją kreatorową Quick Set a ręczną konfiguracją przez CLI i WinBox.

Prezentacja kładzie szczególny nacisk na bezpieczeństwo podstawowej konfiguracji, co wynika z doświadczeń z botnetami atakującymi niezabezpieczone urządzenia. Zmiana domyślnego hasła, wyłączenie zbędnych usług i ograniczenie dostępu do interfejsów zarządzania to absolutne minimum, które należy wdrożyć przed oddaniem routera do użytku produkcyjnego. Kolejne bloki tematyczne prowadzą słuchacza od konfiguracji podstawowej przez zaawansowane funkcje aż po praktyczne porównanie z Cisco IOS.

Blok wprowadzający stanowi fundament, na którym opierają się wszystkie kolejne zagadnienia konfiguracyjne. Zrozumienie architektury RouterOS, mechanizmów dostępu do systemu oraz domyślnych ustawień fabrycznych jest warunkiem wstępnym do samodzielnej konfiguracji urządzenia. Szczególną uwagę należy zwrócić na sposób, w jaki RouterOS zarządza interfejsami sieciowymi i mostami, ponieważ różni się to znacząco od modelu znanego z Cisco IOS.

Wprowadzenie do narzędzi WinBox, WebFig i CLI pokazuje, że RouterOS oferuje jedno z najbardziej elastycznych środowisk zarządzania w branży. Użytkownik może wybrać interfejs graficzny o pełnej funkcjonalności, przeglądarkę internetową lub terminal, w zależności od aktualnych potrzeb i preferencji. Znajomość wszystkich trzech metod dostępu jest istotna, ponieważ w praktyce administrator często przełącza się między nimi w zależności od sytuacji – na przykład używając CLI do szybkich zmian, a WinBox do analizy złożonych konfiguracji.

RouterOS wywodzi się z projektu Linux, jednak jego jądro zostało gruntownie zmodyfikowane pod kątem zastosowań sieciowych. Wersja 7.x wprowadziła jądro w wersji 5.x lub 6.x, co przełożyło się na lepszą obsługę nowoczesnych standardów sprzętowych i protokołów. System obsługuje nie tylko podstawowe funkcje trasowania, ale również zaawansowane mechanizmy takie jak MPLS, VRF, BGP z pełną tablicą routingu oraz IPsec w trybie tunelowym i transportowym.

RouterOS może być uruchamiany na szerokiej gamie urządzeń – od małych routerów domowych hAP po wydajne urządzenia CCR (Cloud Core Router) zdolne obsłużyć ruch na poziomie 40 Gbps. Wersja CHR pozwala na uruchomienie RouterOS jako maszyny wirtualnej w chmurze, co jest popularnym rozwiązaniem u dostawców usług internetowych. Niezależnie od platformy, wszystkie wersje współdzielą to samo API i składnię komend, co zapewnia spójność konfiguracji w całej infrastrukturze.

Fabryczne ustawienia RouterOS są celowo minimalistyczne – router po wyjęciu z pudełka ma działać od razu po podłączeniu kabla. Domyślny adres 192.168.88.1/24 pochodzi z zakresu adresów prywatnych CIDR i jest standardowo przypisany do interfejsu mostu (bridge) łączącego porty LAN. Protokół MNDP umożliwia wykrycie routera przez WinBox nawet bez znajomości adresu IP, co jest szczególnie przydatne, gdy adres został zmieniony i zapomniany.

Dostęp przez MAC Address (MAC telnet, MAC WinBox) działa na poziomie drugiej warstwy OSI, niezależnie od konfiguracji IP. Jest to mechanizm awaryjny, który pozwala na odzyskanie dostępu do routera nawet po błędnej konfiguracji adresacji IP. W praktyce warto zapamiętać, że router MikroTik można zawsze zresetować do ustawień fabrycznych przez przytrzymanie przycisku reset podczas włączania zasilania, co przywraca domyślny adres i konto administracyjne.

WinBox jest aplikacją natywną dla systemu Windows, która pomimo swojego wieku pozostaje głównym narzędziem administracyjnym RouterOS ze względu na swoją wydajność i pełną funkcjonalność. W przeciwieństwie do interfejsów webowych, WinBox korzysta z własnego protokołu komunikacyjnego na porcie TCP 8291, który jest zoptymalizowany pod kątem szybkiego przesyłania danych konfiguracyjnych. Aplikacja automatycznie wykrywa routery w sieci lokalnej za pomocą protokołu MNDP, wyświetlając ich adres MAC, adres IP, wersję RouterOS oraz identyfikator urządzenia.

Możliwość łączenia się przez adres MAC jest szczególnie cenna w sytuacjach awaryjnych, gdy konfiguracja IP routera została uszkodzona. WinBox obsługuje również bezpieczne połączenia przez TLS, co zapobiega podsłuchiwaniu sesji konfiguracyjnych w środowiskach produkcyjnych. Wbudowany menedżer plików umożliwia przeglądanie i zarządzanie systemem plików routera, w tym przesyłanie skryptów konfiguracyjnych i kopii zapasowych.

Interfejs WinBox został zaprojektowany zgodnie z zasadą MDI (Multiple Document Interface), co oznacza, że każde okno konfiguracyjne może być otwierane niezależnie i rozmieszczane dowolnie na pulpicie. Drzewo menu po lewej stronie zawiera wszystkie moduły konfiguracyjne pogrupowane logicznie, a wyszukiwanie pozwala szybko zlokalizować potrzebną funkcję. Przycisk Safe Mode w postaci tarczy na pasku narzędziowym umożliwia bezpieczne testowanie zmian konfiguracyjnych bez ryzyka trwałej utraty dostępu.

Funkcja Undo i Redo w WinBox działa na poziomie sesji, przechowując historię zmian wykonanych podczas bieżącego połączenia. Jest to niezwykle pomocne przy eksperymentalnej konfiguracji, ponieważ pozwala cofnąć nawet złożone modyfikacje jednym kliknięciem. Wiele okien można przeciągać i zadokować do krawędzi głównego okna, co ułatwia pracę z wieloma aspektami konfiguracji jednocześnie.

WebFig jest implementacją interfejsu WinBox w technologii webowej, działającą na wbudowanym serwerze HTTP/HTTPS RouterOS. Interfejs ten został zaprojektowany w sposób responsywny, co pozwala na wygodną konfigurację zarówno z komputerów stacjonarnych, jak i urządzeń mobilnych. Pod względem funkcjonalnym WebFig oferuje praktycznie wszystkie opcje dostępne w WinBox, brakuje mu jednak niektórych zaawansowanych widoków, takich jak podgląd na żywo interfejsów czy wykresy przepustowości.

Aby WebFig działał poprawnie, wymagana jest włączona usługa www na routerze oraz obsługa JavaScript w przeglądarce. W RouterOS w wersji 7.x WebFig został przebudowany od podstaw, zyskując nowoczesny wygląd i lepszą wydajność w porównaniu z poprzednią wersją. Dla administratorów pracujących na tabletach lub urządzeniach z systemem iOS/Android WebFig jest często wygodniejszym wyborem niż uruchamianie WinBox przez warstwę emulacji Wine.

Interfejs CLI RouterOS wykorzystuje składnię hierarchiczną zbliżoną do struktury systemu plików Unix, gdzie przejście do odpowiedniego kontekstu odbywa się za pomocą komendy cd lub bezpośredniego podania ścieżki z początkowym ukośnikiem. System oferuje autouzupełnianie komend klawiszem Tab oraz kontekstową pomoc po znaku zapytania, co ułatwia naukę składni nawet początkującym użytkownikom. CLI obsługuje również tworzenie skryptów za pomocą wbudowanego języka skryptowego, który wspiera zmienne, pętle, instrukcje warunkowe i obsługę zdarzeń.

Możliwość tworzenia skryptów i harmonogramów zadań (scheduler) czyni z CLI potężne narzędzie automatyzacji. Administrator może napisać skrypt wykonujący regularny backup konfiguracji, wysyłający go na serwer FTP lub realizujący złożoną logikę warunkowego przekierowania ruchu. W WinBox wbudowany terminal udostępnia pełnię możliwości CLI bez konieczności uruchamiania osobnego klienta SSH.

Konta użytkowników w RouterOS są zarządzane przez system uprawnień oparty na grupach, z których najważniejsze to full, write i read. Konto admin domyślnie należy do grupy full, co daje nieograniczony dostęp do wszystkich funkcji konfiguracyjnych. Dlatego tak istotne jest nie tylko ustawienie silnego hasła, ale również rozważenie utworzenia osobnych kont dla różnych administratorów z przypisanymi odpowiednimi poziomami uprawnień.

W środowiskach produkcyjnych zaleca się całkowite wyłączenie domyślnego konta admin i utworzenie nowych kont z unikalnymi nazwami użytkowników. RouterOS wspiera uwierzytelnianie poprzez klucze SSH, co jest bezpieczniejszą alternatywą dla haseł, szczególnie przy dostępie przez WAN. Warto również skonfigurować blokadę konta po określonej liczbie nieudanych prób logowania za pomocą mechanizmu firewall, co utrudni ataki brute-force na interfejsy zarządzania.

Quick Set to warstwa abstrakcji konfiguracyjnej, która ukrywa przed użytkownikiem złożoność ręcznego ustawiania poszczególnych parametrów sieciowych. Kreator ten jest szczególnie przydatny w scenariuszach, gdzie liczy się czas uruchomienia urządzenia, na przykład podczas wdrażania wielu routerów w terenie. Quick Set automatycznie konfiguruje most (bridge) dla portów LAN, serwer DHCP, regułę NAT masquerade oraz podstawowe reguły firewalla chroniące przed dostępem z WAN.

Należy jednak pamiętać, że Quick Set nadpisuje istniejącą konfigurację, co przy przypadkowym użyciu może skasować zaawansowane ustawienia. Po zastosowaniu kreatora warto sprawdzić wygenerowaną konfigurację za pomocą komendy /export, aby zrozumieć, jakie dokładnie zmiany zostały wprowadzone. Dla celów edukacyjnych zaleca się ręczną konfigurację, ponieważ pozwala ona zrozumieć wzajemne zależności między poszczególnymi elementami konfiguracji sieciowej.

Rola CPE (Customer Premises Equipment) jest przeznaczona dla scenariuszy, w których router MikroTik pracuje jako klient sieci bezprzewodowego dostawcy usług internetowych (WISP). W tej konfiguracji interfejs bezprzewodowy działa w trybie klienta, łącząc się z punktem dostępowym operatora, a ruch z sieci LAN jest tłumaczony przez NAT. Rola Home AP tworzy standardową bramę domową z translacją adresów, serwerem DHCP i punktem dostępowym Wi-Fi dla sieci lokalnej.

Wariant Home AP Dual rozszerza podstawową konfigurację o obsługę dwóch pasm Wi-Fi (2,4 GHz i 5 GHz), co pozwala na lepsze wykorzystanie widma i odciążenie starszych urządzeń pracujących w paśmie 2,4 GHz. Rola WISP AP jest asymetryczna względem CPE – router staje się punktem dostępowym dla klientów operatora, oferując im dostęp do Internetu przez infrastrukturę przewodową. Wybór odpowiedniej roli determinuje nie tylko konfigurację interfejsów, ale również domyślne reguły firewalla i routing.

Decyzja o wyborze między Quick Set a konfiguracją ręczną powinna być podyktowana przede wszystkim stopniem skomplikowania wymaganej konfiguracji oraz poziomem wiedzy administratora. Quick Set sprawdza się doskonale w standardowych scenariuszach domowych i małych biurach, gdzie potrzeby sieciowe są przewidywalne i ograniczone do podstawowego dostępu do Internetu. Ręczna konfiguracja staje się niezbędna w środowiskach wymagających VLAN-ów, zaawansowanego routingu dynamicznego, tuneli VPN czy polityk QoS.

W kontekście edukacyjnym ręczna konfiguracja ma dodatkową zaletę: wymusza zrozumienie każdego parametru i jego wpływu na działanie sieci. Quick Set może stanowić punkt wyjścia, po którym administrator weryfikuje i modyfikuje wygenerowaną konfigurację w WinBox lub CLI. W praktyce produkcyjnej często spotyka się podejście hybrydowe – Quick Set do szybkiego uruchomienia podstawowych usług, a następnie ręczne dostrojenie zaawansowanych parametrów.

Resetowanie konfiguracji RouterOS do ustawień fabrycznych jest operacją nieodwracalną, dlatego przed jej wykonaniem należy bezwzględnie wykonać backup konfiguracji. Opcja No Default Configuration podczas resetu powoduje uruchomienie routera z całkowicie czystą konfiguracją, bez mostów, adresów IP i serwerów DHCP. Jest to szczególnie przydatne w celach szkoleniowych, gdyż zmusza do przeprowadzenia pełnej konfiguracji od podstaw, co doskonale obrazuje zależności między poszczególnymi elementami systemu.

Reset sprzętowy przez przytrzymanie przycisku Reset podczas włączania zasilania działa niezależnie od oprogramowania i pozwala odzyskać dostęp do routera nawet w przypadku całkowitej utraty połączenia. RouterOS rozpoznaje różne wzorce przytrzymania przycisku – krótkie naciśnięcie podczas startu uruchamia tryb wykrywania CAPsMAN, a przytrzymanie przez dłuższy czas (około 10 sekund) wykonuje pełny reset do ustawień fabrycznych. W modelach z portem USB istnieje również możliwość uruchomienia routera z obrazem systemu na pendrive w trybie awaryjnym.

Drugi blok tematyczny prowadzi użytkownika przez sekwencję czynności niezbędnych do uruchomienia routera MikroTik w typowym scenariuszu bramy domowej lub małego biura. Proces konfiguracji został podzielony na logiczne etapy: adresacja, pozyskanie łączności z Internetem, translacja adresów oraz usługi lokalne. Każdy etap jest ilustrowany zarówno komendami CLI, jak i odpowiednimi oknami WinBox, co pozwala na wybór preferowanej metody konfiguracji.

Kolejność wykonywanych kroków nie jest przypadkowa – adres IP na interfejsie LAN musi być skonfigurowany przed uruchomieniem serwera DHCP, a klient DHCP na WAN powinien działać przed dodaniem reguły NAT. Zrozumienie tej sekwencji zależności jest kluczowe dla samodzielnego rozwiązywania problemów sieciowych. Po zakończeniu bloku uczestnik powinien być w stanie samodzielnie skonfigurować router MikroTik zapewniający pełny dostęp do Internetu dla sieci lokalnej.

W RouterOS każdy interfejs może mieć przypisanych wiele adresów IP, co jest przydatne w scenariuszach multi-homingu lub przy obsłudze wielu sieci VLAN na jednym interfejsie. Komenda /ip address add wymaga podania co najmniej dwóch parametrów: adresu w notacji CIDR oraz nazwy interfejsu, do którego adres ma być przypisany. RouterOS automatycznie dodaje trasę do sieci podłączonej bezpośrednio (connected route) dla każdego skonfigurowanego adresu.

W przeciwieństwie do systemu Cisco, w RouterOS nie istnieje koncepcja administracyjnego wyłączania interfejsu przez shutdown – każdy interfejs jest domyślnie aktywny po dodaniu adresu IP. Aby wyłączyć interfejs, należy użyć komendy /interface disable, która blokuje transmisję na poziomie drugiej warstwy. Sprawdzenie poprawności konfiguracji adresacji wykonuje się komendą /ip address print, która wyświetla wszystkie adresy wraz z ich stanem i interfejsem przypisania.

Okno Addresses w WinBox prezentuje listę wszystkich skonfigurowanych adresów IP w formie tabelarycznej, z kolumnami zawierającymi adres, sieć, interfejs i dodatkowe atrybuty. Przycisk plus (+) otwiera formularz dodawania nowego adresu, w którym pola Address i Interface są obowiązkowe, a pole Network jest uzupełniane automatycznie na podstawie wprowadzonego adresu i maski. WinBox umożliwia również edycję istniejących adresów przez dwukrotne kliknięcie na wybranym wpisie.

Dodatkową zaletą interfejsu graficznego jest możliwość przeciągania adresów między interfejsami oraz szybkie wyszukiwanie po adresie lub interfejsie za pomocą pola filtru. W WinBox można również skonfigurować adres IP dla interfejsu bridge, który agreguje wiele portów fizycznych w jedną logiczną jednostkę. W praktyce konfiguracja adresacji przez WinBox jest szybsza i mniej podatna na błędy składniowe w porównaniu do ręcznego wprowadzania komend w CLI.

Klient DHCP w RouterOS realizuje standardowy protokół DHCP zgodnie z RFC 2131, wysyłając rozgłoszeniowe zapytania DHCP Discover w poszukiwaniu serwera DHCP dostawcy usług internetowych. Po otrzymaniu oferty (DHCP Offer) router wysyła żądanie (DHCP Request) i oczekuje na potwierdzenie (DHCP Ack), po czym konfiguruje interfejs WAN otrzymanymi parametrami. Status połączenia można monitorować za pomocą komendy /ip dhcp-client print, gdzie wartość statusu bound oznacza poprawnie skonfigurowany adres.

RouterOS pozwala na skonfigurowanie wielu klientów DHCP na różnych interfejsach, co jest przydatne w scenariuszach z wieloma łączami WAN i automatycznym przełączaniem awaryjnym. Klient DHCP może również aktualizować domyślną trasę routingową, dodając ją automatycznie po otrzymaniu bramy od ISP. Dodatkową zaletą jest możliwość dodania skryptu uruchamianego po zmianie adresu IP, co umożliwia przykładowo automatyczną aktualizację rekordu DNS dynamicznego.

Trasa domyślna w RouterOS ma docelowy adres 0.0.0.0/0, który oznacza dowolny adres IPv4 niepasujący do żadnej bardziej szczegółowej trasy w tablicy routingu. RouterOS obsługuje wiele równorzędnych tras domyślnych z mechanizmem ECMP (Equal Cost Multi-Path), co pozwala na równoważenie ruchu między kilkoma łączami WAN. Trasy domyślne mogą być dodawane statycznie, pobierane automatycznie od dostawcy przez DHCP lub dystrybuowane przez protokoły routingu dynamicznego.

W tablicy routingu wyświetlanej komendą /ip route print poszczególne trasy oznaczone są flagami: S (static), A (active), C (connect), D (dynamic). Flaga A (active) oznacza, że trasa jest aktualnie używana, a jej brak sygnalizuje problem z osiągalnością bramy. RouterOS automatycznie usuwa nieaktywne trasy dynamiczne, natomiast trasy statyczne pozostają w konfiguracji, ale nie są używane, dopóki brama nie stanie się ponownie osiągalna.

Mechanizm failover w RouterOS opiera się na parametrze distance, który określa preferencję trasy względem innych tras do tej samej sieci docelowej. Trasa z niższą wartością distance (domyślnie 1) jest zawsze preferowana nad trasami z wyższym distance. RouterOS monitoruje osiągalność bram domyślnych za pomocą protokołu ARP i znaczników czasu ostatniej aktywności, a po utracie łączności z preferowaną bramą automatycznie aktywuje trasę zapasową.

W bardziej zaawansowanych scenariuszach warto skonfigurować skrypt monitorujący, który okresowo testuje rzeczywistą łączność z Internetem (np. ping do 8.8.8.8) i odpowiednio modyfikuje tablicę routingu. RouterOS oferuje również funkcję recursive gateway, która rozwiązuje bramę pośrednią przez inną trasę, co zwiększa niezawodność wykrywania awarii. W konfiguracji produkcyjnej zaleca się stosowanie co najmniej dwóch różnych łączy WAN, aby zapewnić ciągłość działania sieci nawet podczas awarii głównego dostawcy.

Masquerade jest szczególnym przypadkiem źródłowej translacji adresów (SNAT), w którym adres źródłowy po translacji jest automatycznie ustalany na podstawie adresu IP interfejsu wyjściowego. Dzięki temu mechanizmowi reguła NAT działa poprawnie nawet wtedy, gdy adres WAN zmienia się dynamicznie, co jest typowe dla łączy z DHCP. W przeciwieństwie do klasycznego SNAT, gdzie adres źródłowy po translacji jest jawnie określony, masquerade dostosowuje się automatycznie do zmieniających się warunków sieciowych.

Reguła NAT w łańcuchu srcnat jest przetwarzana przez firewall RouterOS po podjęciu decyzji routingowej (postrouting), co oznacza, że translacja dotyczy pakietów wychodzących z sieci lokalnej w kierunku Internetu. Każde połączenie TCP lub UDP otrzymuje unikalny port źródłowy na adresie WAN, co umożliwia routerowi poprawne kierowanie odpowiedzi zwrotnych do odpowiedniego komputera w sieci LAN. Bez reguły masquerade pakiety z sieci lokalnej opuszczałyby interfejs WAN z prywatnym adresem IP, który nie jest routowany w publicznym Internecie.

Mechanizm PAT (Port Address Translation) używany przez masquerade tworzy tablicę translacji w pamięci routera, gdzie każde aktywnemu połączeniu przypisany jest wpis zawierający oryginalny i przetłumaczony adres IP oraz port. Komenda /ip firewall connection print pozwala na podgląd bieżących translacji i diagnostykę problemów z łącznością, na przykład w przypadku wyczerpania puli dostępnych portów. Każda translacja ma określony czas życia (timeout), po którym wpis jest usuwany z tablicy połączeń w celu zwolnienia zasobów.

RouterOS obsługuje również bardziej zaawansowane formy translacji, w tym NAT statyczny (dstnat) dla serwerów dostępnych z Internetu oraz NAT typu endpoint-independent, który zapewnia kompatybilność z protokołami VoIP i gamingowymi. W przypadku protokołów innych niż TCP i UDP, takich jak ICMP lub GRE, RouterOS również tworzy odpowiednie translacje, jednak zachowanie może różnić się w zależności od wersji oprogramowania. Monitorowanie obciążenia tablicy translacji jest istotnym elementem administracji, szczególnie w sieciach z dużą liczbą jednoczesnych połączeń.

RouterOS zawiera wbudowany serwer DNS, który może działać w dwóch trybach: jako zwykły forwarder przekazujący zapytania do zewnętrznych serwerów DNS lub jako pamięć podręczna (cache) przyspieszająca rozwiązywanie nazw. Parametr allow-remote-requests kontroluje, czy router odpowiada na zapytania DNS pochodzące z sieci LAN – gdy jest wyłączony, serwer DNS odpowiada tylko na zapytania z samego routera. Rozmiar pamięci podręcznej DNS można regulować, a jej zawartość wyświetlić komendą /ip dns cache print.

Korzystanie z lokalnego serwera DNS ma kilka zalet: redukuje opóźnienia w rozwiązywaniu nazw dzięki buforowaniu, zmniejsza ruch DNS wysyłany do zewnętrznych serwerów oraz daje administratorowi kontrolę nad tym, jakie serwery DNS są używane w sieci lokalnej. Należy jednak pamiętać o zabezpieczeniu usługi DNS przed atakami DDoS z wykorzystaniem amplifikacji DNS. W tym celu warto ograniczyć dostęp do serwera DNS tylko do zaufanych sieci LAN za pomocą reguł firewalla.

Serwer DHCP w RouterOS działa w oparciu o trzy współpracujące komponenty: pulę adresów (pool) definiującą zakres przydzielanych adresów, sieć (network) określającą parametry konfiguracyjne dla danej podsieci oraz sam serwer powiązany z konkretnym interfejsem sieciowym. Taka modularna budowa umożliwia elastyczne konfigurowanie wielu niezależnych serwerów DHCP dla różnych sieci VLAN na jednym routerze. RouterOS wspiera również przydzielanie adresów na podstawie identyfikatora klasy DHCP (option 77) oraz innych opcji.

Czas dzierżawy adresu (lease time) jest konfigurowalny i wpływa na częstotliwość odświeżania przypisań – krótki czas dzierżawy zwiększa ruch w sieci, ale umożliwia szybsze reagowanie na zmiany topologii. Serwer DHCP automatycznie aktualizuje lokalny serwer DNS o nazwy i adresy IP klientów, jeśli funkcja ta jest włączona. W przypadku wyczerpania puli adresów nowe urządzenia nie otrzymają adresu IP, co jest sygnalizowane w logach systemowych komunikatem o braku wolnych dzierżaw.

Rezerwacje DHCP (static leases) pozwalają na przypisanie stałego adresu IP konkretnemu urządzeniu na podstawie jego adresu MAC, łącząc zalety konfiguracji statycznej z wygodą automatycznego przydziału. RouterOS umożliwia tworzenie rezerwacji zarówno przez WinBox (IP → DHCP Server → Leases → Make Static), jak i przez CLI komendą /ip dhcp-server lease add. Każda rezerwacja może zawierać dodatkowe parametry, takie jak nazwa klienta, adres serwera czasu czy adres serwera WINS.

W przypadku urządzeń z rezerwacją DHCP serwer nie przydziela ich adresu IP innym klientom, nawet jeśli dane urządzenie jest aktualnie odłączone od sieci. Rezerwacje są szczególnie przydatne dla serwerów wydruku, kamer IP, serwerów plików i innych urządzeń, których adres powinien być stały dla zachowania spójności konfiguracji. W WinBox lista aktywnych dzierżaw pozwala szybko zidentyfikować nieznane urządzenia w sieci na podstawie ich adresu MAC i przypisanego adresu IP.

Kreator DHCP Setup dostępny z poziomu WinBox automatyzuje proces konfiguracji serwera DHCP, zadając użytkownikowi serię pytań o interfejs, pulę adresów, bramę i serwery DNS. Po zakończeniu kreatora RouterOS automatycznie tworzy wszystkie niezbędne obiekty, w tym pulę adresów, definicję sieci i serwer DHCP. Jest to wygodne rozwiązanie dla początkujących, jednak edukacyjnie wartościowsze jest ręczne utworzenie każdego z trzech komponentów osobno, co pozwala zrozumieć ich wzajemne relacje.

Po skonfigurowaniu serwera DHCP warto przetestować jego działanie przez podłączenie klienta sieciowego i sprawdzenie, czy otrzymuje on prawidłowy adres IP zdefiniowany w puli. W WinBox sekcja Leases wyświetla listę aktywnych dzierżaw wraz z adresem MAC, adresem IP i pozostałym czasem dzierżawy. W przypadku problemów z przydziałem adresów przydatna jest diagnostyka logów w WinBox (Log → DHCP), gdzie router rejestruje wszystkie zdarzenia związane z komunikacją DHCP.

Trzeci blok tematyczny koncentruje się na aspektach konfiguracji wykraczających poza podstawowe uruchomienie routera i zapewnienie dostępu do Internetu. W środowisku produkcyjnym sama łączność to za mało – niezbędne jest zabezpieczenie urządzenia przed atakami, optymalizacja wydajności oraz wdrożenie procedur backupu i aktualizacji. Wszystkie te zagadnienia są kluczowe z punktu widzenia niezawodności i bezpieczeństwa sieci.

Szczególną uwagę poświęcono mechanizmom ochronnym, takim jak reguły firewalla na łańcuchu input, ograniczenie usług sieciowych i wyłączenie protokołów wykrywających sąsiadów na interfejsach WAN. Bridge jako przełącznik programowy jest często używany w RouterOS do łączenia fizycznych portów w jedną domenę rozgłoszeniową, co ma istotne znaczenie dla wydajności sieci LAN. Mechanizm Safe Mode chroni administratora przed skutkami błędnej konfiguracji, automatycznie wycofując zmiany w przypadku utraty połączenia.

Bridge w RouterOS implementuje przełączanie na poziomie drugiej warstwy modelu OSI, umożliwiając komunikację między urządzeniami podłączonymi do różnych fizycznych portów bez konieczności routingu. W przeciwieństwie do koncentratora (hub), bridge analizuje adresy MAC ramek i przekazuje je tylko do odpowiedniego portu, co znacząco redukuje zbędny ruch w sieci. RouterOS wspiera również zaawansowane funkcje mostów, takie jak STP/RSTP zapobiegające pętlom sieciowym oraz filtrowanie ramek na podstawie adresów MAC.

Adres IP w konfiguracji z mostem przypisuje się do interfejsu bridge, a nie do poszczególnych portów fizycznych, co zapewnia spójność adresacji niezależnie od tego, przez który port fizyczny podłączone jest urządzenie zarządzające. Porty dodane do bridge tracą swoje indywidualne adresy IP i stają się wyłącznie członkami mostu. Mosty mogą być również wykorzystywane do łączenia sieci VLAN za pomocą interfejsów VLAN na bridge, co jest powszechną praktyką w konfiguracji routerów MikroTik.

Konfiguracja mostu w WinBox odbywa się w sekcji Bridge, która jest podzielona na trzy zakładki: Bridge (definicja mostów), Ports (przypisanie interfejsów) i VLANs (konfiguracja VLAN na moście). Podczas tworzenia nowego mostu należy określić jego nazwę oraz opcjonalnie parametry takie jak protokół STP, maksymalny rozmiar ramki (MTU) oraz adres MAC mostu. Most może działać w trybie hardware-offloading na układach switchowych MikroTik, co znacząco zwiększa wydajność przełączania.

W WinBox interfejsy dodaje się do mostu przez zakładkę Ports, wybierając z listy dostępnych interfejsów fizycznych i przypisując je do wcześniej utworzonego mostu. Domyślna konfiguracja wielu modeli MikroTik przewiduje, że port ether1 jest dedykowany dla WAN, a pozostałe porty ether są zgrupowane w bridge LAN. Zmiana domyślnej konfiguracji mostu wymaga ostrożności, ponieważ nieprawidłowe przypisanie portów może spowodować utratę dostępu do routera.

Firewall w RouterOS działa w oparciu o trzy główne łańcuchy: input (ruch kierowany do samego routera), forward (ruch przechodzący przez router między sieciami) i output (ruch wychodzący z routera). Każdy łańcuch jest przetwarzany sekwencyjnie według kolejności reguł, a pierwsze dopasowanie decyduje o akcji (accept, drop, reject). Domyślnie wszystkie łańcuchy mają ustawioną politykę accept, co oznacza, że bez zdefiniowanych reguł cały ruch jest przepuszczany bez żadnej kontroli.

Podstawowa reguła ochrony routera przed atakami z WAN opiera się na dopasowaniu stanu połączenia – pakiety należące do już nawiązanych połączeń (established) i powiązanych (related) są przepuszczane, a wszystkie inne przychodzące z WAN są odrzucane. Taki mechanizm stateful firewall zapewnia, że router odpowiada tylko na zapytania inicjowane z sieci lokalnej. W RouterOS można również tworzyć listy adresów (address lists) do grupowania adresów IP i stosowania wspólnych reguł firewalla.

Kompletny zestaw reguł firewalla dla routera MikroTik powinien obejmować zarówno ochronę samego routera (input), jak i ruchu przechodzącego przez niego (forward). Reguły dla łańcucha forward są szczególnie istotne w scenariuszach, gdzie router łączy sieć lokalną z Internetem i musi chronić użytkowników LAN przed zagrożeniami z zewnątrz. Odrzucanie pakietów z nieprawidłowym stanem połączenia (invalid) zapobiega atakom polegającym na wysyłaniu pakietów TCP z fałszywymi flagami.

Reguły firewalla w RouterOS są przetwarzane od góry do dołu, dlatego reguły zezwalające na ruch związany z już nawiązanymi połączeniami powinny znajdować się na początku listy. Po nich umieszcza się reguły zezwalające na określone typy ruchu (np. ICMP dla diagnostyki), a na końcu domyślną regułę odrzucającą cały pozostały ruch. W WinBox reguły można przeciągać myszą w celu zmiany ich kolejności, a każda reguła posiada pole wyjaśniające (comment) ułatwiające identyfikację jej przeznaczenia.

RouterOS instaluje się z domyślnie włączonymi wieloma usługami sieciowymi, z których wiele nie jest potrzebnych w typowym scenariuszu konfiguracyjnym. Telnet, FTP i API to usługi, które rzadko są wykorzystywane we współczesnych sieciach, a ich włączenie zwiększa powierzchnię ataku na urządzenie. Zaleca się pozostawienie włączonych tylko tych usług, które są faktycznie używane – zazwyczaj WinBox, SSH i ewentualnie www (WebFig) ograniczony do sieci LAN.

Ograniczenie dostępu do usług zarządzania przez parametr address w /ip service set pozwala wskazać, z jakich sieci dana usługa może być dostępna. Na przykład WinBox można ograniczyć tylko do sieci LAN (192.168.1.0/24), co uniemożliwi dostęp z Internetu nawet w przypadku błędnej konfiguracji firewalla. Warto również rozważyć zmianę domyślnych portów usług oraz włączenie szyfrowania tam, gdzie to możliwe – szczególnie dla WinBox przez TLS i SSH zamiast Telnetu.

Protokół MNDP (MikroTik Neighbor Discovery Protocol) jest odpowiednikiem protokołu CDP firmy Cisco i służy do wykrywania urządzeń MikroTik w sieci lokalnej. Domyślnie router rozgłasza swoją obecność na wszystkich interfejsach, w tym na interfejsie WAN, co umożliwia potencjalnemu atakującemu z Internetu wykrycie urządzenia i jego wersji RouterOS. Ograniczenie discover-interface-list wyłącza rozgłaszanie na interfejsach spoza wskazanej listy, co skutecznie ukrywa router przed skanowaniem z WAN.

Oprócz MNDP, RouterOS wykorzystuje również inne protokoły wykrywania, takie jak MAC WinBox i MAC Telnet, które umożliwiają połączenie na poziomie drugiej warstwy. Te protokoły powinny być wyłączone na interfejsach WAN za pomocą komend /tool mac-server i /tool mac-server mac-winbox. W środowiskach o podwyższonych wymaganiach bezpieczeństwa zaleca się również wyłączenie MNDP całkowicie i poleganie wyłącznie na konfiguracji przez adres IP.

Eksport konfiguracji komendą /export generuje skrypt w formacie tekstowym .rsc, który zawiera wszystkie komendy CLI niezbędne do odtworzenia bieżącej konfiguracji routera. Plik .rsc można edytować w dowolnym edytorze tekstu, co umożliwia modyfikację konfiguracji przed jej zaimportowaniem na innym urządzeniu. Opcja hide-sensitive w eksporcie zastępuje hasła ciągiem znaków ***, co pozwala na bezpieczne udostępnianie plików konfiguracyjnych bez ujawniania poufnych danych.

Import konfiguracji przez /import wykonuje komendy zawarte w pliku .rsc sekwencyjnie, co pozwala na szybkie przeniesienie konfiguracji między urządzeniami tego samego modelu. Przed importem warto sprawdzić, czy adresy interfejsów i nazwy mostów są zgodne z docelowym urządzeniem. W WinBox operacje eksportu i importu są dostępne przez menedżer plików (Files), gdzie pliki .rsc można przeciągać między systemem lokalnym a routerem.

Backup binarny tworzony komendą /system backup save zawiera pełną kopię konfiguracji routera włącznie z hasłami, certyfikatami i kluczami prywatnymi w postaci zaszyfrowanego pliku binarnego z rozszerzeniem .backup. W przeciwieństwie do eksportu tekstowego, backup binarny nie może być edytowany ręcznie, co stanowi zabezpieczenie przed przypadkową modyfikacją. Plik backupu można opcjonalnie zabezpieczyć hasłem, które jest wymagane podczas przywracania.

Regularne wykonywanie backupów konfiguracji jest podstawową praktyką administracyjną, która pozwala na szybkie odtworzenie działania routera po awarii sprzętu lub błędnej konfiguracji. Zaleca się przechowywanie backupów poza urządzeniem, na przykład na serwerze FTP, SMB lub w chmurze, aby były dostępne nawet w przypadku całkowitego uszkodzenia pamięci Flash routera. Backup binarny jest zależny od wersji RouterOS i modelu urządzenia, dlatego po aktualizacji systemu należy wykonać nowy backup.

Aktualizacja RouterOS do nowszej wersji może być przeprowadzona na kilka sposobów: przez wbudowany mechanizm Check for Updates w WinBox, przez pobranie pliku NPK ze strony mikrotik.com i przesłanie go przez WinBox Files, lub przez komendę CLI /system package update. Przed rozpoczęciem aktualizacji należy bezwzględnie sprawdzić, czy nowa wersja jest zgodna z modelem posiadanego urządzenia, ponieważ niektóre stare modele mogą nie obsługiwać najnowszych wersji RouterOS 7.x.

Proces aktualizacji RouterOS wymaga ponownego uruchomienia urządzenia, co wiąże się z chwilowym przerwaniem działania sieci. W przypadku routerów pracujących w trybie produkcyjnym aktualizację należy zaplanować na okno konserwacyjne (maintenance window) i poinformować użytkowników o planowanym przestoju. Po aktualizacji warto sprawdzić poprawność działania wszystkich kluczowych funkcji i w razie potrzeby przywrócić poprzednią wersję z wykonanego przed aktualizacją backupu.

Safe Mode to jeden z najbardziej przydatnych mechanizmów w RouterOS, który chroni administratora przed skutkami błędnej konfiguracji mogącej spowodować utratę dostępu do urządzenia. Po włączeniu Safe Mode router monitoruje aktywność na bieżącym połączeniu – jeśli w ciągu 90 sekund połączenie zostanie zerwane, wszystkie zmiany wprowadzone od momentu włączenia Safe Mode są automatycznie cofane. Mechanizm ten działa zarówno w WinBox, jak i w CLI, gdzie aktywuje się go skrótem klawiszowym Ctrl+X.

Safe Mode jest szczególnie przydatny podczas konfiguracji reguł firewalla, zmian adresacji IP czy modyfikacji ustawień mostu, które mogą potencjalnie odciąć administratora od routera. Jeśli konfiguracja okaże się poprawna i połączenie pozostanie stabilne, administrator powinien ręcznie wyłączyć Safe Mode, co zatwierdza wprowadzone zmiany na stałe. W WinBox włączenie Safe Mode sygnalizowane jest zieloną ramką wokół okna oraz ikoną tarczy na pasku narzędzi.

Czwarty blok tematyczny stanowi podsumowanie i syntezę wiedzy zdobytej w poprzednich trzech blokach, konfrontując system RouterOS z branżowym standardem Cisco IOS. Znajomość obu platform sieciowych jest obecnie jedną z najbardziej poszukiwanych umiejętności na rynku pracy, ponieważ wiele firm eksploatuje mieszane środowiska sieciowe. Porównanie obejmuje nie tylko składnię komend, ale przede wszystkim różnice w modelach konfiguracji, podejściu do bezpieczeństwa i metodach zarządzania konfiguracją.

Praktyczna ściągawka (cheat sheet) zestawiająca odpowiadające sobie komendy z obu systemów stanowi wartościowe narzędzie podczas codziennej pracy administratora sieci. Zrozumienie podobieństw i różnic między Cisco IOS a RouterOS ułatwia przechodzenie między tymi platformami i pozwala wykorzystać znajomość jednego systemu do szybszego opanowania drugiego. W laboratorium uczestnicy mają okazję praktycznie porównać oba systemy, konfigurując te same funkcje sieciowe na obu platformach.

Podstawowa różnica między Cisco IOS a RouterOS leży w modelu konfiguracji – Cisco stosuje hierarchiczny system trybów (tryb wykonywania, tryb globalny, tryb interfejsu), podczas gdy RouterOS używa hierarchii menu przypominającej strukturę katalogów w systemie Unix. W Cisco zmiana konfiguracji wymaga wejścia w odpowiedni tryb, wykonania komendy, a następnie zapisania zmian komendą copy running-config startup-config. RouterOS zapisuje zmiany automatycznie natychmiast po ich wprowadzeniu, co jest wygodne, ale wymaga ostrożności.

Kolejną istotną różnicą jest sposób zarządzania interfejsami – w Cisco każdy interfejs ma domyślnie stan administracyjny shutdown i wymaga ręcznego włączenia komendą no shutdown. W RouterOS wszystkie interfejsy są domyślnie włączone, a ich wyłączenie wymaga jawnej komendy disable. Różnice te dotyczą również adresacji – Cisco stosuje tradycyjną notację maski dziesiętnej (255.255.255.0), a RouterOS notację CIDR (/24), co jest bardziej zwięzłe i nowoczesne.

Tabela porównawcza komend Cisco IOS i RouterOS uwidacznia, że mimo różnic składniowych oba systemy realizują analogiczne funkcje sieciowe w bardzo podobny sposób. W Cisco zmiana nazwy urządzenia odbywa się przez komendę hostname w trybie globalnym, podczas gdy RouterOS używa komendy /system identity set name w kontekście systemowym. Różnica w notacji adresów IP (maska dziesiętna vs CIDR) wynika z ewolucji standardów sieciowych – RouterOS od początku stosuje nowoczesną notację.

Zarówno Cisco, jak i RouterOS oferują mechanizmy autouzupełniania komend (Tab) oraz kontekstową pomoc (?), co ułatwia naukę składni osobom początkującym. W Cisco komendy są zazwyczaj dłuższe, ale bardziej czytelne dla człowieka, podczas gdy RouterOS stosuje zwięzłą składnię z parametrami klucz-wartość. Przejście między platformami wymaga przede wszystkim zmiany przyzwyczajeń składniowych, a nie konieczności uczenia się całkowicie nowych koncepcji sieciowych.

Automatyczny zapis konfiguracji w RouterOS jest znaczącym ułatwieniem w porównaniu z Cisco, gdzie administrator musi pamiętać o ręcznym zapisaniu zmian komendą copy running-config startup-config. W praktyce wielu administratorów Cisco doświadczyło utraty konfiguracji po ponownym uruchomieniu routera z powodu pominięcia tego kroku. RouterOS eliminuje ten problem, ale jednocześnie utrudnia tworzenie konfiguracji warunkowych, gdzie niektóre zmiany mają być tymczasowe.

Narzędzia diagnostyczne w obu systemach oferują podobne informacje, różniąc się głównie składnią – show ip interface brief w Cisco odpowiada /interface print w RouterOS, a show ip route odpowiada /ip route print. RouterOS oferuje bardziej rozbudowany system logowania z możliwością kierowania logów do zewnętrznego serwera syslog, co jest istotne w środowiskach produkcyjnych. W WinBox podgląd logów w czasie rzeczywistym jest dostępny w sekcji Log, co ułatwia bieżącą diagnostykę.

Ściągawka zestawiająca dziesięć najważniejszych komend obu platform stanowi praktyczne narzędzie wspomagające codzienną pracę administratora sieci mieszanych. Każda z porównywanych funkcji – adresacja, trasa domyślna, NAT, DHCP, DNS – została przedstawiona w dwóch kolumnach, co ułatwia szybkie znalezienie odpowiednika komendy Cisco w RouterOS. Warto zauważyć, że niektóre funkcje, takie jak NAT, mają w RouterOS znacznie prostszą składnię dzięki mechanizmowi masquerade.

Dla początkujących administratorów zaleca się wydrukowanie ściągawki i umieszczenie jej w widocznym miejscu podczas laboratoriów i egzaminów praktycznych. Znajomość tych dziesięciu komend pozwala na samodzielną konfigurację podstawowych funkcji sieciowych na obu platformach bez sięgania do dokumentacji. W miarę zdobywania doświadczenia administrator powinien rozszerzać ściągawkę o kolejne, bardziej zaawansowane komendy, tworząc własny spersonalizowany przewodnik.

Prezentacja BiKUS RTR 03 stanowi kompleksowe wprowadzenie do konfiguracji systemu MikroTik RouterOS, począwszy od podstawowych informacji o architekturze systemu, przez narzędzia zarządzania, aż po zaawansowane aspekty konfiguracyjne i porównanie z Cisco IOS. Po przerobieniu całego materiału uczestnik powinien samodzielnie skonfigurować router MikroTik od podstaw, zapewnić mu bezpieczeństwo i uruchomić podstawowe usługi sieciowe. Kolejne prezentacje z serii BiKUS RTR rozwijają poszczególne zagadnienia, takie jak routing dynamiczny, VLAN-y, NAT, ACL i DHCP.

Zachęca się do samodzielnego eksperymentowania z RouterOS w środowisku laboratoryjnym, najlepiej przy użyciu symulatora lub taniego urządzenia fizycznego, które można wielokrotnie resetować do ustawień fabrycznych. Eksperymentowanie i rozwiązywanie problemów to najskuteczniejsza metoda nauki administracji sieciami. W razie problemów warto korzystać z oficjalnej dokumentacji MikroTik, forum społeczności oraz materiałów dydaktycznych dostępnych w literaturze wymienionej w niniejszej prezentacji.