MikroTik konfigurátor

Konfigurátor na stránce VONDRA.TECH/mikrotik umožňuje vygenerovat kompletní RouterOS script na míru – bez nutnosti ručně psát příkazy. Výsledný .rsc soubor nahrajete do routeru a spustíte jedním příkazem.

Kompatibilita: Konfigurátor primárně cílí na RouterOS 7.x. WireGuard je dostupný pouze od ROS 7.x – při volbě ROS 6.x se tato sekce automaticky deaktivuje. CAPsMAN v1 (použitý syntaxí v scriptu) funguje v obou větvích, nicméně v ROS 7.x je označen jako deprecated – pro nové instalace doporučujeme ROS 7.x.

Volba sekcí a předvolby

Každá karta lze zapnout nebo vypnout kliknutím. Zapnuté sekce jsou modře podbarvené se zaškrtnutím vpravo, vypnuté jsou šedé. Při generování se do scriptu zahrnou pouze zapnuté sekce – sekce které nepotřebujete jednoduše vypněte.

Závislosti jsou ošetřeny automaticky: pokud vypnete WireGuard server, odstraní se WG pravidla z firewallu i ze Winbox/SSH přístupu.

Výchozí stav (všechny sekce zapnuté kromě Web serveru) odpovídá doporučené základní konfiguraci pro nový router.

Předvolba routeru automaticky předvyplní pole WAN interface a LAN porty podle zvoleného modelu (hEX, hAP, RB4011 apod.) – porty pak stačí jen zkontrolovat. Pole zůstávají editovatelná pro jemné úpravy.

Volba RouterOS verze ovlivňuje dostupnost sekcí: při výběru ROS 6.x se karta WireGuard zašedne a deaktivuje, protože WireGuard na ROS 6.x neexistuje.

Popis jednotlivých sekcí

🗑 Reset starých nastavení

Odstraní veškerou stávající konfiguraci – firewall, NAT, DHCP, IP adresy, bridge, WireGuard rozhraní a interface listy. Vhodné pro čistou instalaci na factory-default routeru. Pokud konfigurujete router s existujícím nastavením, tuto sekci ponechte zapnutou.

🔒 Vypnutí nebezpečných služeb

Deaktivuje služby Telnet, FTP, WWW (webfig), API a API-SSL. Tyto služby nejsou pro standardní provoz potřeba a představují bezpečnostní riziko při expozici na internetu.

📋 Interface listy

Vytvoří pojmenované skupiny rozhraní WAN a LAN. Firewall a NAT pravidla se pak odkazují na tyto skupiny místo konkrétních rozhraní – konfigurace zůstane funkční i při přejmenování portů.

🔀 Bridge (LAN)

Vytvoří bridge s protokolem RSTP a přiřadí do něj LAN porty definované v parametru LAN porty. Všechny LAN porty pak sdílejí stejnou síť a bridge se přiřadí do skupiny LAN.

🌐 WAN – DHCP client

Spustí DHCP klienta na WAN rozhraní (výchozí ether1). Povolí automatické přijetí DNS serverů a NTP ze strany poskytovatele.

🏠 LAN IP + DHCP server

Nastaví IP adresu gatewaye na bridge rozhraní, vytvoří DHCP pool a spustí DHCP server. Klienti v LAN obdrží adresu z nastaveného rozsahu a jako gateway a DNS server bude nastaven router sám.

🔐 WireGuard server

Vytvoří WireGuard rozhraní wg0 na zvoleném portu (výchozí 51820/UDP) a přiřadí mu IP z VPN subnetu. Součástí scriptu je zakomentovaný příklad konfigurace peera – odkomentujte a doplňte veřejný klíč klienta.

Vyžaduje RouterOS 7.x. Při volbě ROS 6.x se tato sekce automaticky deaktivuje. Parametr allowed-ips v příkladu peera obsahuje pouze VPN IP klienta (10.10.10.2/32) – LAN rozsah sem nepatří, ten se routuje přes firewall forward pravidla.

📡 CAPsMAN WiFi manager

Nakonfiguruje MikroTik jako centrální WiFi kontroler (CAPsMAN). Vytvoří bezpečnostní profil WPA2-PSK a dvě konfigurace – pro 2,4 GHz (802.11b/g/n) a 5 GHz (802.11a/n/ac) – se stejným SSID a heslem. Provisioning automaticky přiřadí AP k odpovídající konfiguraci dle podporovaných pásem.

🛡 Základní firewall

Vytvoří sadu pravidel pro input a forward chain. Pokud je zároveň zapnutá sekce Ochrana proti útokům, obě sekce se při generování sloučí do jednoho bloku se správným pořadím pravidel. Pořadí je klíčové – pravidla pro detekci a blokaci útočníků musí být umístěna před závěrečným drop pravidlem, jinak by byla nedosažitelná.

Blokuje IP adresy ze skupiny wan_attackers ještě před kontrolou stavu spojení.
Povolí established/related spojení, zahodí invalid.
Detekuje port scan, SYN flood a ICMP flood (pokud je zapnutá ochrana).
Omezí ICMP z WAN (max 10 paketů/s).
Povolí veškerý provoz z LAN k routeru i na internet.
Pokud je zapnutý WireGuard, povolí WG port z WAN a přístup z wg0 do LAN i na internet.
Zahodí vše ostatní přicházející z WAN.

⚔ Ochrana proti útokům z WAN

Detekuje port scany, SYN flood a ICMP flood z WAN a přidá útočníkovy IP adresy do skupiny wan_attackers s platností 24 hodin. Adresy z této skupiny jsou blokovány na vstupu i forwardu a každý záznam se loguje s prefixem PORTSCAN/SYNFLOOD/ICMPFLOOD WAN.

Tato sekce je úzce provázána se sekcí Základní firewall – detekční pravidla se generují jako součást jednoho firewall bloku ve správném pořadí. Pokud zapnete pouze tuto sekci bez základního firewallu, detekce fungovat nebude.

🔄 NAT (masquerade)

Přidá pravidlo srcnat masquerade pro všechna rozhraní ve skupině WAN – zajistí překlad adres pro internetový provoz z LAN.

👤 Správa uživatelů

Vytvoří nový administrátorský účet se jménem a heslem z parametrů a deaktivuje výchozí účet admin. Výchozí účet je cílem automatizovaných útoků – jeho deaktivace je důležitým bezpečnostním krokem.

🖥 Winbox + SSH přístup

Omezí přístup ke službám Winbox a SSH pouze z LAN subnetu. Pokud je zapnutý WireGuard, přidá se i VPN subnet – přístup přes VPN tak zůstane zachován i z venku.

🔧 Hardening

Deaktivuje MAC server a MAC Winbox (přístup přes MAC adresu bez IP), omezí Neighbor Discovery na LAN a zapne automatické určení časové zóny. Tato nastavení snižují útočnou plochu routeru.

🔁 Script – čistění útočníků

Přidá scheduler script wan_attackers_cleanup, který každých 5 minut kontroluje počet záznamů ve skupině wan_attackers. Pokud překročí limit 1000, odstraní nejstarší záznamy. Zabraňuje neomezenému růstu address-listu.

🌍 Web server (HTTP/HTTPS)

Výchozně vypnutá sekce. Přidá deaktivované firewall pravidlo pro porty 80 a 443 z WAN – připravené k ručnímu zapnutí příkazem /ip firewall filter enable [find comment="Web server"] pokud na routeru provozujete web server.

Nastavení parametrů

Parametry se vyplňují před generováním scriptu. Výchozí hodnoty odpovídají běžné domácí síti – v jednoduchých případech stačí upravit pouze hesla a SSID. Pole WAN interface a LAN porty lze předvyplnit výběrem předvolby routeru.

Parametr	Výchozí hodnota	Popis
RouterOS verze	`7.x`	Cílová verze RouterOS – ovlivňuje dostupnost WireGuard sekce
Předvolba routeru	–	Automaticky předvyplní WAN a LAN porty pro zvolený model. Pozor – různé modely používají různá označení SFP portů: `sfp1` (1G, např. RB3011), `sfp-sfpplus1` (10G SFP+, RB4011/CCR2004) nebo `sfp28-1` (25G, CCR2004 uplink)
WAN interface	`ether1`	Port připojený k internetu (od poskytovatele)
LAN porty	`ether2–5`	Porty přiřazené do bridge (LAN), oddělené čárkou
LAN gateway / prefix	`192.168.1.1/24`	IP adresa routeru v LAN včetně délky masky
DHCP pool	`192.168.1.100–200`	Rozsah IP adres přidělovaných klientům
Lease time	`12h`	Platnost přidělené DHCP adresy
DNS server	`192.168.1.1`	DNS server pro klienty – výchozí router sám
WireGuard port	`51820`	UDP port WireGuard serveru (musí být otevřen u poskytovatele)
WireGuard subnet	`10.10.10.1/24`	IP adresa routeru ve VPN síti
WiFi SSID	`Mikrotik`	Název WiFi sítě
WiFi heslo	–	Heslo WPA2-PSK pro WiFi
Správce – jméno	`Admin`	Uživatelské jméno nového administrátora
Správce – heslo	–	Heslo nového administrátora

Nahrání scriptu do routeru

Po stažení .rsc souboru jej nahrajete do routeru jedním z těchto způsobů:

Přes Winbox (doporučeno)

Otevřete Files v levém menu.
Přetáhněte .rsc soubor do okna Files nebo použijte tlačítko Upload.
Otevřete New Terminal a spusťte: /import file-name=mikrotik-config.rsc
Sledujte výstup – každý příkaz se potvrdí nebo vypíše chybu.

Přes SSH / Terminal

Nahrajte soubor přes SCP: scp mikrotik-config.rsc admin@192.168.88.1:/
Připojte se přes SSH a spusťte: /import file-name=mikrotik-config.rsc

Safe Mode

Před spuštěním scriptu doporučujeme aktivovat Safe Mode – pokud by konfigurace způsobila ztrátu přístupu k routeru, RouterOS po 9 minutách automaticky vrátí změny zpět.

V Terminálu (Winbox nebo SSH) stiskněte Ctrl+X – v pravém horním rohu se zobrazí SAFE MODE.
Spusťte import scriptu.
Ověřte, že vše funguje správně.
Stiskněte znovu Ctrl+X pro potvrzení změn, nebo se odpojte pro jejich automatické vrácení.

Tipy a časté problémy

Script nelze spustit na routeru kde jsou aktivní připojení přes Winbox – bezpečnostní pravidla se zapíší okamžitě a mohou přerušit stávající session. Připojte se lokálně přes sériový kabel nebo použijte Safe Mode.
Pokud používáte jiné rozhraní pro WAN než ether1, použijte předvolbu routeru nebo parametr upravte ručně. Označení portů se liší podle modelu: standardní Ethernet porty jsou vždy ether1, ether2… ale SFP porty mají různá jména – sfp1 (1G, starší modely jako RB3011, hEX S), sfp-sfpplus1 (10G SFP+, RB4011, CCR2116) nebo sfp28-1 (25G, CCR2004). Na CCR2004 je ether1 pouze management port, WAN bývá na SFP+.
WireGuard je dostupný pouze od RouterOS 7.x. Na ROS 6.x tuto sekci nezapínejte – script bude obsahovat neplatné příkazy.
CAPsMAN v1 (syntaxe /caps-man) funguje na ROS 6.x i 7.x. V ROS 7.x je deprecated – nové instalace s Wi-Fi 6 (AX) routery používají balíček wifi s odlišnou syntaxí, která není součástí tohoto konfigurátoru.
WireGuard veřejný klíč routeru zjistíte po importu příkazem: /interface wireguard print
Skupinu wan_attackers lze prohlížet příkazem: /ip firewall address-list print where list=wan_attackers
Sekce Základní firewall a Ochrana proti útokům se při generování automaticky sloučí do jednoho bloku ve správném pořadí – pravidla detekce útočníků jsou vložena před závěrečný WAN drop, aby byla dosažitelná.