IP dla zielonych – część 5: Budujemy sieć lokalną na MikroTiku

W tej części pokażemy, jak zbudować od podstaw własną sieć lokalną przy użyciu MikroTika.
Nie grzebiemy w domowym routerze – działamy w kontrolowanym środowisku, na stole, krok po kroku.

Zaczniemy od połączenia z urządzeniem, wyczyścimy jego konfigurację, a potem stworzymy bridge, adresację i serwer DHCP. To pierwszy realny krok w kierunku zrozumienia, jak działa nowoczesny router.

🧰 Co będzie potrzebne?

• Urządzenie MikroTik z portami Ethernet
• Komputer z kartą sieciową LAN
• Przewód Ethernet
• Program WinBox (do pobrania z mikrotik.com)

🔌 1. Pierwsze połączenie

Na początek podłącz MikroTika bezpośrednio do komputera za pomocą kabla Ethernet.
Użyj portu ether2 lub wyższego – nie ether1, bo bywa on skonfigurowany jako WAN (choć i tak zaraz wszystko wyczyścimy).

Uruchom program WinBox i przejdź do zakładki Neighbors.
Po chwili powinien się tam pojawić twój MikroTik – z widocznym MAC adresem i ewentualnie adresem IP (jeśli ma jakąś konfigurację fabryczną).

👉 Na tym etapie łączymy się po MAC-u, a nie po IP – nawet jeśli router już jakiś adres IP posiada.
Dlaczego? Bo zaraz i tak będziemy czyścić całą konfigurację, więc nie ma sensu zaprzątać sobie głowy IP, który zaraz zniknie.

⚠️ Uwaga:
Jeśli twoja karta sieciowa nie ma żadnego przypisanego adresu IP (np. z DHCP lub ręcznie), połączenie po MAC może nie działać poprawnie – WinBox nie będzie w stanie nawiązać sesji.
W takim przypadku po prostu przypisz sobie ręcznie jakiś IP, np.:

192.168.88.254 z maską 255.255.255.0

🔐 2. Logowanie do urządzenia

Przed połączeniem z MikroTikiem przez WinBox (najlepiej po MAC-u) zobaczysz ekran logowania.

Dane zależą od wersji i modelu routera:

• Starsze urządzenia:
  Login: admin
  Hasło: puste

• Nowsze urządzenia:
  Login: admin
  Hasło: fabryczne, przypisane do konkretnego egzemplarza

📎 Hasło znajdziesz:

• na naklejce pod routerem (np. admin / x1a2b3c4),

• lub w papierowej dokumentacji dołączonej do zestawu.

🛠️ Nie masz hasła albo router był wcześniej używany?

Skorzystaj z przycisku RESET na obudowie:

1. Odłącz zasilanie,
2. Przytrzymaj przycisk RESET,
3. Podłącz zasilanie nadal trzymając przycisk,
4. Puść przycisk po kilku sekundach – po zasygnalizowaniu przez diody.

Router powróci do ustawień fabrycznych – usunie hasło i konfigurację.

 

🧹 3. Czyszczenie konfiguracji

Teraz czas na pełny reset konfiguracji, żeby zacząć od naprawdę czystej bazy.

Przejdź do menu System → Reset Configuration
i zaznacz opcję: „No Default Configuration”, a potem zatwierdź.

⚠️ To bardzo ważny krok.

MikroTik, nawet po resecie, często posiada jakąś domyślną konfigurację:
z NAT-em, firewallem, serwerem DHCP, bridge’em, a czasem nawet routingiem czy dynamicznymi regułami.

Jeśli zostawisz to „jak jest”, łatwo wpadniesz w pułapkę typu:

„Dlaczego coś działa, mimo że tego nie skonfigurowałem?”
„Dlaczego coś nie działa, mimo że wygląda dobrze?”

W tym kursie chcemy rozumieć każdy element konfiguracji.
Dlatego czyścimy wszystko, by router:

• nie miał żadnego adresu IP,
• nie nadawał adresów przez DHCP,
• nie filtrował pakietów przez reguły firewalla,
• nie robił NAT-u,
• nie miał żadnych bridge’y, portów, VLAN-ów itd.

Dzięki temu od teraz każdy krok konfiguracji zależy tylko od ciebie — i od tej serii wpisów 😊

 

🏷️ 4. Ustawiamy nazwę urządzenia (System Identity)

Dobrą praktyką – i czymś, co naprawdę warto robić od początku – jest nadawanie routerowi czytelnej i jednoznacznej nazwy.

W MikroTiku zrobisz to wchodząc w System → Identity
i wpisując np.: router-lab, mt-home, edge01 albo iot-switch.

Dlaczego to takie ważne?

🔹 W większej sieci szybko może pojawić się więcej niż jeden MikroTik – jako routery, switche, AP-ki, CAPsMan itd.
Jeśli wszystkie będą miały nazwę „MikroTik” albo „router”, łatwo się pogubić.

🔹 MikroTiki komunikują się ze sobą i z WinBoxem – pojawiają się np. w zakładce IP → Neighbors, gdzie widzisz listę sąsiadujących urządzeń.
Gdy każdemu nadasz jasną nazwę, od razu wiesz, z kim masz do czynienia.

🔹 Niektóre logi, alerty i diagnostyka również pokazują System Identity. Dzięki temu wiesz, które urządzenie zgłasza problem – zwłaszcza przy zdalnym zarządzaniu.

📌 Dobra nazwa to taka, która mówi coś o roli lub lokalizacji urządzenia:
router-lab, ap-salon, mikrotik-garaz, switch-rack01

To mały szczegół, ale robi dużą różnicę.

 

🔒 5. Wyłącz zbędne usługi – bezpieczeństwo i porządek

Po resecie routera MikroTik domyślnie uruchamia wiele usług, z których większość nie będzie Ci potrzebna:

• telnet
• ftp
• www (dostęp do panelu przez HTTP)
• www-ssl (to samo przez HTTPS)
• api, api-ssl
• winbox
• ssh

👉 My zostawiamy tylko WinBox i SSH – narzędzia, których faktycznie używasz do konfiguracji.

🔧 Jak to zrobić?

Przejdź do IP → Services, zaznacz kolejne wpisy i klikaj Disable, by je wyłączyć.

Warto zostawić aktywne tylko:

• winbox – do graficznej konfiguracji
• ssh – jeśli korzystasz z terminala lub skryptów

🛠️ Co oznacza literka „D”?

W tabeli możesz zobaczyć wpisy z literką D po lewej stronie – oznacza to, że są dynamiczne.

Przykład:

D  btest           tcp 2000

To oznacza, że ta usługa została uruchomiona przez inną funkcję routera – np. btest server, czyli serwer do testowania przepustowości.
🔒 Nie możesz wyłączyć tych wpisów bezpośrednio tutaj. Aby je usunąć, musisz wyłączyć samą funkcję, która je uruchomiła (np. Tools → BTest Server → disable).

🤔 Dlaczego to ważne?

🔐 Bezpieczeństwo: mniej otwartych portów = mniej okazji dla atakujących
📋 Czytelność: widzisz tylko te usługi, które faktycznie działają
📉 Wydajność: każda niepotrzebna usługa = niepotrzebny proces
👀 Monitoring: od wersji RouterOS 7.19+, kolumna Connections pokazuje ile sesji łączy się z daną usługą – łatwo zobaczyć, kto korzysta z routera i przez co

Zaczynając od czystej listy usług, tworzysz bezpieczne, przewidywalne i czytelne środowisko konfiguracyjne. To mały krok, który procentuje na każdym etapie administracji.

🌉 6. Tworzymy bridge i przypisujemy porty

🧠 Co to jest bridge?

W MikroTiku (i ogólnie w sieciach) bridge to logiczny „mostek”, który łączy kilka interfejsów fizycznych w jedną wspólną sieć warstwy 2 (czyli taką, gdzie urządzenia widzą się jak w klasycznym switchu).

Dzięki temu możesz połączyć np. ether2, ether3 i ether4 w jedną sieć LAN, która będzie działać jakby wszystko było wpięte do jednego fizycznego switcha.

Można to porównać do „rozgałęziacza” Ethernet — tylko wirtualnego i bardziej elastycznego.

➕ Tworzenie bridge’a

1. Przejdź do Bridge → kliknij New
2. Nazwij bridge, np. bridge1-lan
3. Zatwierdź przyciskiem OK

To utworzy pusty bridge

🏷️ Dobrze nazywaj swoje bridge’e

Na tym etapie używamy prostej nazwy: bridge1-lan. Ale warto już teraz zapamiętać:

Dobrze nazwany bridge to czytelna konfiguracja.

W bardziej rozbudowanych sieciach warto używać nazw, które jasno pokazują rolę danego bridge’a, np.:

• bridge-lan – główna sieć lokalna
• bridge-iot – urządzenia IoT
• bridge-guest – sieć gościnna
• bridge-wan – łączność z internetem (np. przy VLANach lub bardziej zaawansowanej konfiguracji)

Dzięki temu, kiedy wrócisz do konfiguracji po miesiącu albo spojrzysz w logi, od razu wiesz, co jest czym — bez zastanawiania się, „czym był bridge1?”.

🔌 Dodawanie portów do bridge’a

1. Przejdź do zakładki Ports
2. Kliknij Add (+)
3. Wybierz interfejs, np. ether2, ether3, ether4
4. Jako Bridge wybierz wcześniej utworzony bridge1-lan
5. Zatwierdź

Dodaj w ten sposób wszystkie porty, które mają należeć do jednej sieci lokalnej.
Typowo będą to np. ether2, ether3, ether4, itd. – zależnie od tego, ile masz urządzeń i jak planujesz swoją sieć.

🛑 Uwaga: Jeśli dodasz do bridge’a port, do którego jesteś aktualnie podłączony (np. ether2), połączenie z routerem może zostać zerwane na chwilę.

Dlaczego?

➡️ Bo po dodaniu portu do bridge’a, jego adres MAC (czyli adres fizyczny portu) przestaje być aktywny, a router zaczyna „używać” MAC-a bridge’a.
W efekcie komputer widzi nagle „inną” kartę sieciową – i traci na moment połączenie. Po kilku sekundach wszystko powinno wrócić do normy.

💡 Dlatego najlepiej:

• najpierw utworzyć bridge,

• dodać inne porty (np. ether3, ether4, ether5),

• i na końcu dodać ten, przez który jesteś połączony – albo przelogować się przez WinBox po MAC-u, który nie wymaga IP.

To drobna niedogodność, ale warto o niej wiedzieć, żeby nie spanikować w trakcie 😉

⚡ TIP: Hardware Offload

MikroTiki często wspierają tzw. Hardware Offload – to oznacza, że przekazywanie pakietów w ramach bridge’a odbywa się bez udziału procesora (robi to sprzętowo switch-chip w urządzeniu).

Jeśli wszystko jest poprawnie skonfigurowane, zobaczysz literkę H w kolumnie „H” przy portach w bridge’u.
To znak, że działa przyspieszenie sprzętowe – czyli sieć LAN będzie działać szybciej i bardziej stabilnie, nawet przy dużym ruchu.

Jeśli litery H brak – coś jest nie tak (np. filtr pakietów, VLANy, niekompatybilne ustawienia) i przełączanie odbywa się przez CPU.

Stworzenie mostu to absolutna podstawa każdej sieci lokalnej w MikroTiku — dzięki temu masz pełną kontrolę nad tym, które porty należą do jednej domeny broadcastowej (czyli jednej sieci LAN).

 

🌐 7. Adresujemy nasz bridge – router dostaje IP

Bridge to serce naszej sieci LAN — a skoro chcemy, żeby MikroTik pełnił w niej rolę routera i serwera DHCP, to musi mieć adres IP w tej sieci. Bez tego nikt się z nim nie dogada.

🔧 Jak przypisać adres IP do bridge’a?

1. Przejdź do IP → Addresses
2. Kliknij Add (+)
3. W polu Address wpisz adres IP i maskę, np. 192.168.10.1/24
4. W polu Interface wybierz swój bridge: bridge1-lan
5. Zatwierdź

🧠 Co to oznacza?

Od teraz MikroTik będzie miał adres 192.168.10.1 wewnątrz naszej sieci lokalnej — i to właśnie do tego adresu będą się łączyć wszystkie komputery, ESPHome, NAS-y, drukarki, smart żarówki i cała reszta.

To też adres, przez który połączy się z nim WinBox, SSH, przeglądarka (jeśli kiedyś włączysz panel) i wszystko inne.

📌 Dlaczego na bridge, a nie na port?

W MikroTiku adres IP możesz przypisać do dowolnego interfejsu — zarówno do fizycznego portu (ether2, ether3), jak i do interfejsu logicznego, jakim jest bridge.

Ale uwaga:

Jeśli przypiszesz adres do jednego portu (np. ether2), to router będzie osiągalny tylko przez ten konkretny port. Inne porty nie będą działały w tej samej sieci — chyba że ręcznie skonfigurujesz przełączanie pakietów (co jest bez sensu, skoro mamy bridge’a).

Dlatego zawsze, gdy tworzysz bridge z kilku portów, przypisuj adres IP do bridge’a, a nie do pojedynczego interfejsu.

W naszym przypadku:
➡️ Adres 192.168.10.1/24 przypisujemy do bridge1-lan,
➡️ Do tego bridge’a dodaliśmy ether2, ether3, ether4 itd.,
➡️ Dzięki temu niezależnie, gdzie podepniesz kabel, sieć działa identycznie, a router odpowiada pod swoim adresem.

To prostsze, bardziej skalowalne i zgodne z dobrymi praktykami.

💡 Tip – planowanie

Router zawsze powinien mieć łatwy do zapamiętania, stały adres – zwykle .1 w danej podsieci.
W naszym labie to 192.168.10.1.

Ustal go raz, wpisz do notatek i trzymaj się tej konwencji w całej serii; resztę adresów (NAS, IoT, DHCP) przydzielimy później.

📦 8. Konfiguracja serwera DHCP

Skoro router ma już adres IP (192.168.10.1), czas nauczyć go automatycznie rozdawać adresy innym urządzeniom w sieci.

---

🧠 Co to jest DHCP?

DHCP (Dynamic Host Configuration Protocol) to usługa, która przydziela:

• adres IP,

• maskę podsieci,

• bramę domyślną,

• serwery DNS.

Dzięki temu każde nowe urządzenie w sieci działa bez ręcznego ustawiania IP.

---

🔧 Jak uruchomić DHCP w MikroTiku?

1. IP → DHCP Server

2. Przejdź do zakładki DHCP u góry.

3. Po prawej, w sekcji Actions, kliknij DHCP Setup.

Kreator przeprowadzi Cię przez kolejne kroki: