Skip to main content

Bridge в MikroTik

Теоретический разбор и особенности настройки при подключении к провайдеру

Bridge (мост) в MikroTik — это программный коммутатор второго уровня, позволяющий объединять несколько физических и виртуальных интерфейсов в одно логическое устройство. По сути, bridge работает аналогично обычному свитчу: он перенаправляет пакеты между интерфейсами на основе MAC-адресов без участия маршрутизации.

Зачем использовать bridge при подключении к роутеру провайдера

В случае, когда:

  • PPPoE-сессия поднимается на роутере провайдера, а не на MikroTik;
  • Провайдер выдаёт статический IP-адрес MikroTik в одной из внутренних сетей (например, 192.168.88.2/24);
  • MikroTik не должен выполнять маршрутизацию на внешнюю сторону (интернет), а просто работать как шлюз, свитч, фильтр или точка доступа для локальной сети;

можно использовать bridge как способ организовать работу MikroTik внутри LAN, а не на границе с интернетом.

Цели такого подхода

  • Расширение внутренней сети без вмешательства в маршрутизацию провайдера;
  • Создание firewall/фильтрации между сегментами LAN;
  • Включение MikroTik в существующую домашнюю или офисную топологию без переноса функций маршрутизации.

Типовая схема

[Интернет] <--PPPoE--> [Роутер провайдера] <--> [MikroTik (bridge)] <--> [Клиенты]
  • Роутер провайдера устанавливает PPPoE-сессию и получает публичный IP.
  • MikroTik получает локальный IP или вообще не получает IP.
  • На MikroTik настраивается bridge, в который добавляются интерфейсы (например, ether1 — uplink от провайдера и ether2...ether5 — LAN-порты).
  • Все устройства, подключенные к MikroTik, находятся в одной подсети с роутером провайдера.

Настройка MikroTik (концептуально)

  1. Создание моста:

    /interface bridge
    add name=bridge-lan

  2. Добавление портов в мост:

    /interface bridge port
    add interface=ether1 bridge=bridge-lan
    add interface=ether2 bridge=bridge-lan
    ...

  3. Назначение IP-адреса (опционально): Если нужно доступ к MikroTik из LAN:

    /ip address
    add address=192.168.88.2/24 interface=bridge-lan

  4. Отключение NAT и маршрутов: MikroTik не выполняет маршрутизацию, а только работает на уровне 2.

Подводные камни

1. Конфликт MAC-адресов

Если MikroTik ранее выполнял NAT или маршрутизацию, необходимо очистить ARP-таблицы и исключить IP-конфликты.

2. STP/RSTP

  • Включение RSTP или STP на мосту помогает избежать петель в L2-сети.
  • Однако это может привести к задержке при включении порта (forward delay до 15 секунд).
  • Провайдерские роутеры иногда не любят "умных клиентов", включающих STP.

3. Доступ к MikroTik

Если у MikroTik нет IP, он будет недоступен по Winbox/SSH, пока вы не подключитесь к нему напрямую (по MAC или с консоли). Это может затруднить администрирование.

4. Firewall и NAT

  • Firewall-фильтры на уровне L3 работать не будут, если MikroTik не участвует в маршрутизации.
  • Возможна настройка bridge firewall (на уровне фильтрации кадров), но она требует дополнительных знаний.

5. Прозрачность

MikroTik в режиме моста становится прозрачным — он не виден как самостоятельный маршрутизатор. Это хорошо для "встраивания", но плохо, если вы хотите логировать трафик, управлять доступом, маршрутизировать VLAN и т.д.

Когда это оправдано

  • Провайдер использует "комбайн" (модем+роутер), и вы не можете (или не хотите) перенастраивать его.
  • Вам нужно просто расширить внутреннюю сеть провайдера.
  • Вы хотите управлять клиентами (через Hotspot, Bridge Firewall, VLAN), но не маршрутизировать трафик в интернет.
  • MikroTik используется как прозрачный фильтр/трафик анализатор (например, для сниффинга или QoS).

Альтернативы

СценарийРешениеПреимуществаНедостатки
Нужно маршрутизировать трафикPPPoE или /30Полный контроль, NAT, firewallТребует перенастройки провайдера
Нужно только расширение сетиBridgeПростота, минимум настроекОграниченная функциональность
Нужно фильтровать трафик без маршрутизацииBridge + bridge firewallКонтроль L2-трафикаСложность настройки

Базовые команды MikroTik

/interface bridge add name=bridge-lan

Создаёт мост с именем bridge-lan.

/interface bridge port add interface=ether1 bridge=bridge-lan
/interface bridge port add interface=ether2 bridge=bridge-lan

Добавляет порты (uplink и LAN) в мост.

/ip address add address=192.168.88.2/24 interface=bridge-lan

Назначает MikroTik IP-адрес в локальной сети, если требуется доступ к его интерфейсу

Использование bridge в MikroTik при подключении к провайдеру, где PPPoE и маршрутизация находятся на стороне внешнего роутера — это валидный способ внедрения MikroTik в существующую сеть на уровне второго уровня OSI. Этот подход особенно полезен, когда требуется прозрачная интеграция без перенастройки провайдера, но имеет ограничения в плане функциональности. При правильной настройке bridge может стать основой для управления трафиком, фильтрации, VLAN и других функций, не затрагивая при этом маршрутизацию в интернет.