FixPedia
ДругоеВысокая

MikroTik: нет интернета — причины и способы исправления

В этой статье подробно разбирается распространённая проблема отсутствия доступа в интернет на роутерах MikroTik. Вы узнаете основные причины сбоя и получите пошаговые инструкции по их устранению, начиная с простой проверки кабеля и заканчивая настройкой правил firewall.

Обновлено 17 февраля 2026 г.
15-30 мин
Средняя
FixPedia Team
Применимо к:MikroTik RouterOS v6.45+MikroTik RouterOS v7.xCCR, RB, hAP series

Что означает ошибка "Нет интернета на MikroTik"

Ошибка "нет интернета" на роутере MikroTik означает, что устройства в локальной сети (и часто сам роутер) не могут установить соединение с ресурсами за пределами вашей локальной сети. Симптомы:

  • Не загружаются веб-сайты, хотя Wi-Fi/LAN-соединение активны.
  • На интерфейсе WAN (например, ether1) в статусе нет буквы R (Running).
  • В таблице маршрутизации (/ip route) отсутствует или указан неверный маршрут по умолчанию (0.0.0.0/0).
  • Роутер не получает IP-адрес от провайдера (для DHCP/PPPoE).
  • Команда ping 8.8.8.8 с роутера или клиента завершается с ошибкой.

Проблема находится на уровне сетевой (L3) или выше и связана с настройками маршрутизации, трансляции адресов (NAT) или фильтрацией трафика.

Причины возникновения

  1. Физический канал или настройки WAN-интерфейса.
    • Обрыв или плохой контакт в кабеле (витая пара, оптика).
    • Неправильный тип подключения у провайдера (DHCP, PPPoE, статический IP) или неверно указанные учётные данные (логин/пароль для PPPoE).
    • Отсутствие или неверная настройка VLAN, если провайдер использует тегирование.
    • Неисправность SFP-модуля или оптического трансивера.
  2. Отсутствие или неверный маршрут по умолчанию.
    • Маршрут 0.0.0.0/0 не был добавлен автоматически (например, при использовании статического IP) и отсутствует вручную.
    • Шлюз (gateway) в маршруте указан неверно или недоступен.
  3. Не настроен или некорректно настроен NAT (Masquerade).
    • Отсутствует правило в цепочке srcnat с действием masquerade для трансляции приватных IP-адресов локальной сети в публичный IP-адрес WAN-интерфейса.
    • Правило NAT есть, но указан неверный out-interface или src-address.
  4. Блокировка трафика межсетевым экраном (Firewall).
    • Правила в цепочках forward, input или output блокируют исходящий трафик из локальной сети (forward) или ответы от внешних серверов (input).
    • Неправильно настроены connection tracking или stateful inspection.
  5. Проблемы с DNS-разрешением.
    • Не указаны DNS-серверы в настройках роутера (/ip dns).
    • Указанные DNS-серверы недоступны или блокируются.
    • В настройках DHCP-сервера для клиентов раздаются некорректные DNS-адреса.
  6. Блокировка со стороны провайдера.
    • Провайдер привязал MAC-адрес вашего предыдущего устройства (роутера/компьютера). Требуется клонирование MAC-адреса в настройках WAN-интерфейса (/interface ethernet set [find] mac-address=XX:XX:XX:XX:XX:XX).
    • Не оплачен счёт или технические работы на стороне провайдера.

Способы решения

Способ 1: Проверка физического уровня и базовых настроек WAN

Начните с самых простых шагов, исключив кабельные и конфигурационные ошибки на уровне интерфейса.

  1. Проверьте индикаторы на роутере и коммутаторе/модеме провайдера. На порту WAN (ether1 или другом) должен гореть зелёный/желтый свет (Link/Activity).
  2. В WinBox/WebFig или через CLI выполните: 
    /interface print
    Найдите ваш WAN-интерфейс (обычно ether1, sfp1 или pppoe-out1). Убедитесь, что в колонке status стоит R (running), а в колонке disabled стоит no.
  3. Проверьте, получен ли IP-адрес.
    • Для DHCP/PPPoE: в той же строке интерфейса в колонке actual-interface или running должен быть указан IP-адрес (например, 192.168.100.5).
    • Для статического IP: проверьте настройки интерфейса (/interface ethernet set [find name=ether1]). Убедитесь, что address заполнен корректно (IP/маска, например 10.0.0.2/24).
  4. Если статус не R:
    • Перезагрузите роутер и оборудование провайдера.
    • Попробуйте другой кабель или порт на коммутаторе.
    • Для PPPoE проверьте логи: /log print where topics=ppp. Возможно, ошибка аутентификации.

Способ 2: Проверка и добавление маршрута по умолчанию

Если интерфейс имеет IP-адрес, но маршрут отсутствует, трафик не знает, куда идти дальше.

  1. Посмотрите текущие маршруты: 
    /ip route print
    Найдите строку с dst-address=0.0.0.0/0. Если её нет — маршрута нет.
  2. Определите шлюз (gateway). Обычно это IP-адрес, который находится в той же сети, что и ваш WAN-адрес, но не совпадает с ним. Часто это .1 или .254. Например, если ваш WAN-адрес 192.168.100.5/24, шлюз, скорее всего, 192.168.100.1.
    • Способ А (если провайдер сообщил шлюз): Добавьте маршрут вручную: 
      /ip route add dst-address=0.0.0.0/0 gateway=192.168.100.1
      (замените 192.168.100.1 на ваш шлюз).
    • Способ Б (если используется DHCP/PPPoE): Маршрут должен добавляться автоматически. Если его нет, возможно, провайдер его не передаёт. В этом случае попробуйте добавить вручную, указав шлюз, который вы видите в настройках интерфейса (часто это адрес самого роутера провайдера).
  3. После добавления проверьте доступность шлюза: 
    ping address=192.168.100.1
    Если пинг не проходит, проблема на канальном уровне (Способ 1) или шлюз указан неверно.

Способ 3: Проверка и настройка NAT (Masquerade)

NAT позволяет устройствам из вашей локальной сети (например, 192.168.88.0/24) использовать один публичный IP-адрес для выхода в интернет.

  1. Проверьте наличие правила NAT: 
    /ip firewall nat print
    Ищите правило в цепочке srcnat с действием masquerade. Пример корректного правила: 
    #   CHAIN SRC-ADDRESS DST-ADDRESS OUT-INTERFACE ACTION
0   srcnat  192.168.88.0/24  masquerade
    Обратите внимание на поля:
    • chain: должно быть srcnat.
    • src-address: диапазон вашей локальной сети (например, 192.168.88.0/24).
    • action: masquerade.
    • out-interface: должно быть указано имя вашего WAN-интерфейса (например, ether1). В современных версиях RouterOS это поле может быть пустым, если правило применяется ко всем исходящим интерфейсам.
  2. Если правила нет или out-interface указан неверно, создайте его: 
    /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
    (замените ether1 на имя вашего WAN-интерфейса).
  3. Важно: Правило NAT должно находиться выше (иметь меньший номер в списке), чем любые правила drop в цепочке forward.

Способ 4: Диагностика и настройка Firewall

Неправильные правила firewall — одна из самых частых причин.

  1. Временно отключите весь firewall для диагностики: 
    /ip firewall set [find] disabled=yes
    Попробуйте зайти на сайт с клиента. Если интернет заработал — проблема точно в firewall.
  2. Включите firewall обратно:
    /ip firewall set [find] disabled=no
  3. Проверьте цепочку forward. Это основная цепочка для трафика между сетями (LAN -> WAN и обратно). Убедитесь, что есть правило, разрешающее установленные/связанные соединения: 
    /ip firewall filter print where chain=forward
    Обычно это правило с action=accept и connection-state=established,related. Его должно быть достаточно для работы интернета.
  4. Проверьте цепочку input. Если вы тестируете доступ из локальной сети на сам роутер (например, ping с клиента на IP роутера), убедитесь, что в input есть правило, разрешающее ICMP (ping) или весь трафик с вашей LAN-сети.
  5. Если у вас есть кастомные правила, временно переместите их вниз списка или отключите (set ... disabled=yes), оставив только базовые (accept established/related, accept from LAN to router).

Способ 5: Проверка DNS и тестирование по IP

Иногда интернет есть, но не работает из-за проблем с преобразованием имён.

  1. Проверьте настройки DNS на самом роутере: 
    /ip dns print
    Должны быть указаны работающие серверы (например, servers=8.8.8.8,1.1.1.1). Если поле пустое или указаны локальные, неработающие адреса — добавьте: 
    /ip dns set servers=8.8.8.8,1.1.1.1
  2. Проверьте, разрешает ли роутер имена: 
    /tool dns query address=google.com
    Если команда возвращает IP-адрес — DNS работает.
  3. Ключевой тест: пинг по IP-адресу. С роутера или клиента выполните: 
    ping 8.8.8.8
    • Если пинг есть, а сайты не грузятся — проблема почти на 100% в DNS. Настройте DNS на роутере и/или на клиентах (указывайте в настройках сети DNS-серверы, например, 8.8.8.8).
    • Если пинга нет — проблема с маршрутизацией, NAT или блокировкой. Возвращайтесь к Способам 2, 3, 4.

Профилактика

  • Документируйте изменения. Перед вводом любых сложных правил firewall или NAT делайте экспорт конфигурации (/export file=backup) или используйте конфигурационные скрипты.
  • Используйте теги (tags) и комментарии. Комментируйте (#) каждое правило в firewall и NAT, объясняя его назначение. Это упростит диагностику в будущем.
  • Начинайте с простой конфигурации. При настройке "с нуля" сначала проверьте, что базовый доступ в интернет работает (интерфейс, маршрут, NAT), и только потом добавляйте сложные правила фильтрации.
  • Регулярно обновляйте RouterOS. Многие сетевые баги и уязвимости исправляются в обновлениях.
  • Мониторьте логи. Включайте логи для важных подсистем: /log add topics=ppp,firewall,dhcp. Это поможет быстро увидеть, в каком месте трафик блокируется или возникает ошибка.
  • Проверяйте настройки провайдера. При смене тарифа или оборудования у провайдера (например, переход с DHCP на PPPoE) обязательно обновляйте настройки WAN-интерфейса в роутере.

Часто задаваемые вопросы

Почему на MikroTik есть Wi-Fi, но нет интернета?
Что делать, если на интерфейсе WAN нет статуса 'R' (running)?
Может ли отсутствие интернета быть связано с DNS?
Как сбросить настройки MikroTik до заводских, если нет доступа?

Полезное

Проверьте физическое подключение и статус интерфейса
Проверьте таблицу маршрутизации
Проверьте настройки NAT (Masquerade)
Временно отключите firewall для диагностики
Проверьте настройки DNS
Протестируйте соединение с внешним IP

Эта статья помогла вам решить проблему?