Routeros基本设置

|
0
|
RouterOS,网络

2457 字
|
16 分钟

一、基础安全设置

修改默认用户名和密码

首次登陆时会提示输入新密码

system——Users

双击用户可修改密码,当只有一个用户时无法删除和修改登陆名

新建一个用户,赋予root权限

删除admin账号

关闭不必要的登录

IP——services——双击服务——disable

或者选择服务,点击“x”

建议除了Winbox外全关了。

Winbox建议修改默认端口

下次登录时可通过套接字登录

二、设置PPPOE拨号

interfaces——双击给这两个网卡改名

一个改为Wan口一个改为Lan口

设置Lan口IP

IP——addresses——”+”

输入IP,选择Lan口,

注意格式:

添加PPPOE Client

General中interfaces选择Wan

Dial out中,

User:上网账号

Password:密码

Use Peer DNS:勾选后默认使用运营商提供的DNS

设置完成

注意!!!ros基本网络设置完后若无法打开百度网页、图片加载过慢之类的,可能和IPV6有关。可直接减小MTU值,想省事可直接把MTU定为1400。

三、设置DHCP服务

IP——DHCP Server——DHCP Setup

选择端口:Lan

选择DHCP地址空间

选择DHCP网关

选择DHCP地址分配范围,下面的没什么用,点击上箭头删除

输入适合自己的DHCP分配范围

输入DNS服务器,随便找个公共服务器

不用管,直接跳过

DHCP配置完成

修改DHCP地址池

IP——Pool选择对应的地址池修改即可

若配置好后无法打开网页,需要配置IPV4防火墙中的内网伪装

IP——Firewall——NET——添加规则

General中Chain:srcnat

Action中Action:masquerad

四、配置DNS缓存

IP——DHCP Server——Network

把DHCP服务器的DNS设为ROS的IP

设置接收远程DNS请求

IP——DNS

Servers中输入DNS服务器

勾选Allow Remote request

注意!!!ROS开启DNS缓存后会开放外网53端口访问,此时ROS会成为一个DNS服务器,外网可用ROS进行DNS解析。需要用防火墙关闭外网udp 53端口访问。

IP——Firewall——+——general——

chain选input

Protocol选udp

Dst.port输入53

In.interface选择WAN口

Action中Action选drop

另外DNS选项卡的Static界面可设置DNS劫持

五、开启UPNP(不建议开启)

IP——UPNP

全部勾选

Interface——+——接口处选择Lan口,选中internal。

pppoe接口添加进去,选择external

所有生成端口在IP——firewall——NAT中看到。

但由于UPnP自动生成的端口映射没有老化时间,开启UPNP一段时间后,NAT列表中会存在很多记录,可以手动进行删除,或使用脚本进行删除。

由于UPNP会允许所有软件自行打洞,不利于网络安全

应该需要哪个端口对哪个端口进行转发。

推荐使用端口转发

例如:外网转发36549 TCP端口到内网192.168.1.1机器36549端口

IP——Firewall——NAT——+

General

Chain:dstnat

Protocol:6(TCP)

Dst.Port:36549

In. Interface:pppoe-out1

Action

Action:dst-nat

To Addresses:192.168.1.1

To Port:36549

顺便把端口回流设置也写了

所谓回流举个例子:

1.网吧内网一台主机192.168.0.2建了个WEB服务站点端口80,然后在网关(其内网地址是192.168.0.1、公网地址为218.4.218.4)上映射80端口到192.168.0.2的80端口,这样INTERNET上就能以http://218.4.218.4:80的地址访问到192.168.0.2的WEB站点了。 

2.在同网吧的另一台电脑192.168.0.3上,键入http://218.4.218.4:80,却无法访问该WEB站点。 就这个现象就称之为“不支持回流”了,这里指的是网关上的映射方式不支持回流,所以说“回流”一说,是针对映射方式而言的。

IP——Firewall——NAT——+

General

Chain:srcnat

Src. Address:10.0.0.0/24

out. Interface:Lan

Action

Action:msquerade

六、设置NTP服务

system——NTP Client 勾选Enable,并填入NTP服务器地址

国内常用NTP服务器


#阿里的NTP服务器
ntp.aliyun.com
ntp1.aliyun.com
ntp2.aliyun.com
ntp3.aliyun.com
ntp4.aliyun.com
ntp5.aliyun.com
ntp6.aliyun.com
ntp7.aliyun.com

#阿里的Time服务器
time1.aliyun.com
time2.aliyun.com
time3.aliyun.com
time4.aliyun.com
time5.aliyun.com
time6.aliyun.com

#Win系统自带的:
time.windows.com
time.nist.gov

#苹果提供的授时服务器
time1.apple.com
time2.apple.com
time3.apple.com
time4.apple.com
time5.apple.com
time6.apple.com
time7.apple.com

#Google提供的授时服务器
time1.google.com
time2.google.com
time3.google.com
time4.google.com

设置时间

System——Clock

选择时区

七、开启IPV6

参考连接:

https://gitee.com/callmer/routeros_toss_notes/blob/master/09.%E8%AE%BE%E7%BD%AEIPv6.md

https://post.smzdm.com/p/aqm47w6p/

IPV6——Settings

勾选IPV6 Forward

Max Neighbor Entries(ARP 表最大条目数)改为合适的数值默认为最大值,此处改为1024

配置IPV6 DHCP Client

IPV6——DHCP Client——添加

interface选择pppoe-out1

勾选prefix

Use peer DNS:获得运营商DNS

DHCPv6 Client 的Prefix中有显示就表示获取了IPV6

国内运营商 Pool Prefix Length 参考如下

  • 电信宽带: 56
  • 移动宽带: 60
  • 联通宽带: 60

确认正确获得了IPV6地址

IPv6——Addresses

打开获得的地址,interface 为Lan口,勾选Advertise

配置IPV6 ND

IPV6——ND选中默认的all,点击X禁用

新建一个新的项目

interface选择Lan——选择 ND 通告使用的接口

RA Interval 设置 ND 通告的时间间隔,时间单位为秒

Hop Limit 缺省情况下,由设备初始发送 IPv6 单播报文的跳数限制是 64

Advertise MAC Address ,建议勾选 ND 通告中将包含接口的 MAC 地址信息
Advertise DNS ,必须勾选 ND 通告中将包含指定的 DNS 服务器

配置放行UDP546端口

IPV6——firewall添加一个条目

General中

chain:input

protocol: 17(udp)

Dst.Port:546

In.Interface Wan

Action中

action:accept

ROS默认没有开启MSS Clamping(自动切片功能),不开启会导致部分网站用IPV6访问时无法打开、部分图片加载缓慢等症状。

提供三个解决方案

一、interface——pppoe-out1中直接减小MTU的值(不推荐)

二、IPV6——ND——Lan中单独减小IPV6的MTU(不推荐)

三、开启MSS Clamping(推荐)

IPV6——Firewall——Mangle——添加一条规则

General中

Chain:forward

Protocol:6 (TCP)

Out.Interface :pppoe-out1

Advance中

TCP Flags:syn

Action中

Action:change MSS

New TCP MSS: clamp to pmtu

完成。

配置IPV6防火墙

直接抄代码

注:部分接口名称需要改成自己配置的接口

代码来源:https://gitee.com/callmer/routeros_toss_notes/blob/master/src/firewall/ros_firewall_ipv6.pppoe.basic.conf


##       Filter 规则 13 条
##          NAT 规则  3 条
##       Mangle 规则  1 条
## Address-list 规则 10 条

/ipv6 firewall address-list

add address=::1/128 comment="defconf: RFC6890 - Loopback" list=bad_ipv6
add address=::/128 comment="defconf: RFC6890 - unspecified" list=bad_ipv6
add address=100::/64 comment="defconf: RFC6890 - discard-only" list=bad_ipv6
add address=0000::/96 comment="defconf: RFC4291 - IPv4 compatible" list=bad_ipv6
add address=::ffff:0:0/96 comment="defconf: RFC6890 - IPv4 mapped" list=bad_ipv6
add address=2001::/23 comment="defconf: RFC6890 - reserved" list=bad_ipv6
add address=2001:db8::/32 comment="defconf: RFC6890 - documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: RFC4843 - ORCHID" list=bad_ipv6
add address=2001:20::/28 comment="defconf: RFC7343 - ORCHIDv2" list=bad_ipv6
add address=fec0::/10 comment="defconf: RFC3879 - site local" list=bad_ipv6


/ipv6 firewall filter

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation" dst-port=546 protocol=udp dst-address=fe80::/10 log=yes log-prefix="[ipv6-pd]"
add action=drop chain=input comment="defconf: drop all not from Lan" in-interface=!Lan

add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop bogon IPs" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop bogon IPs" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=drop chain=forward comment="defconf: drop all not from Lan" in-interface=!Lan


/ipv6 firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade IPv6" out-interface-list=WAN disabled=yes

add action=redirect chain=dstnat comment="lanconf: redirect DNS query (UDP)" dst-port=53 in-interface-list=LAN protocol=udp to-ports=53
add action=redirect chain=dstnat comment="lanconf: redirect DNS query (TCP)" dst-port=53 in-interface-list=LAN protocol=tcp to-ports=53


/ipv6 firewall mangle

add action=change-mss chain=forward comment="defconf: fix IPv6 mss for WAN" new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn

注意,此规则会关闭所有IPV6外网端口。需要开启某个端口请加入以下规则

/ipv6 firewall filter

选择协议名称和端口号,并把这条规则置放于“defconf: drop all not from Lan”规则上方

八、登录认证、在线升级

现在CN的网络全线封锁了Mikrotik RouterOS的登录人证、在线升级。。。。。

只能采用某些迂回的方案。

临时方法:

升级需要绑定的DNS

/ip dns static
add address=159.138.7.88 name=upgrade.mikrotik.com
add address=159.148.147.252 name=cloud1.mikrotik.com
add address=159.148.172.251 name=cloud2.mikrotik.com
add address=2a02:610:7501:4000::251 name=cloud2.mikrotik.com

登录需要绑定的DNS(某大佬用Nginx自建)

/ip dns static
add cname=upgrade.mikrotik.app name=upgrade.mikrotik.com type=CNAME
add cname=licence.mikrotik.app name=licence.mikrotik.com type=CNAME
##若失败更换下面的
/ip dns static  
add address=45.78.60.53 name=upgrade.mikrotik.com type=A  
add address=45.78.60.53 name=licence.mikrotik.com type=A

免费版RouterOS限速1M,需要注册登录才能解除。

去官网:https://mikrotik.com/software注册

System——License——Renew License

输入账号密码便可激活。

若无法激活,检查网络状态或关闭所有防火墙规则,尤其和ICMP有关的规则。

此处已经激活,且购买了正版P10授权

注意!

若此账号绑定过多台设备。且购买后的授权少于绑定的设备时。

去官网Account——All CHR keys中看下绑定的设备是否一致(System ID)若不一致需要手动Transfer到新的设备中

在线升级

System——Packages——Check For Updates

九、配置DDNS(可选)

只有买了正版授权才有这个功能!

首先保证时间正确,或配置了NTP服务

IP——Cloud

勾选DDNS Enable

勾选Update Time

DDNS Update Interval 中输入更新的时间间隔

十:内网访问光猫

内网网段和光猫不在一个网段时需要配置。

内网:10.0.0.0/24

光猫192.168.1.1

配置Wan口IP

IP——address——+

address:192.168.1.2/24和光猫同一个网段

Network:192.168.1.0

Interface:Wan

配置防火墙转发

IP——Firewall——NAT——+

General下

Chain:srcnat

Src.address:10.0.0.0/24

Dst.address:192.168.1.0/24

Action下

Action:masquerade

IP——Firewall——Mangle——+

General下

Chain:prerouting

Src.address:10.0.0.0/24

Dst.address:192.168.1.0/24

Action下

Action:accept

十一:ROS 备份设置与恢复设置

备份

Files——File——Backup

输入备份文件名字——Backup

同页面选中备份文件的名字点击——Restore

十二:ROS 恢复出厂设置(清除所有设置)

System——Reset Configuration

routeros
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇