RouterOS常用配置問題

  Routers配置     |      2023-03-26 21:41

1、如何使用winbox 登陸RouterOS
首先下載winbox 應用程序到你的windows 電腦然后,雙擊運行winbox 程序 使用 掃描同一局域網內的RouterOS 設備,掃描后,可以選擇MAC 或者IP 登陸RouterOS,當路由器 沒有配置IP 情況下,選擇MAC 地址登陸,第一次登陸默認賬號是admin,密碼為空,賬號設置好后點 按鈕連接登陸RouterOS 。

2、如何添加RouterOS 的IP 地址和網關
添加 192.168.0.254/24 的IP 地址,進入/ip address 中添加IP 地址和選擇網卡接口,添加內網和外網的IP 地址如圖: 添加默認網關 在/ip routes 里添加默認網關10.0.0.1,開啟check-gateway=ping(網關ping 監測)

3、如何設置端口映射?
這里我們需要將內網的http 服務器發布到外網,內網的http 服務器IP 地址192.168.0.88,這里需要做端口 映射規則,進入ip firewall nat 里,選擇chain=dstnat,我們的外網IP 地址是10.0.0.217 配置到 dst-address,dst-port 為tcp 協議80 端口,如下圖 在 action 選擇dst-nat 操作,to-address 設置內網http 服務器IP 地址,和端口80

4、如何設置單機帶寬控制?
進入 Queue 添加帶寬控制規則,選擇simple queue,添加主機IP 是192.168.0.3,并取名為IP03,設置 帶寬為上行(upload)256kbps,下行(download)512kbps

5、如何配置DHCP 服務器
步驟一、進入/ip dhcp-server,點擊DHCP-setup,在彈出的對放框中DHCP server interface 選擇內網卡。 點擊Next 將依次設置如下參數,RouterOS 會自動判斷DHCP 服務信息,也可以根據你的需要手動配置。
步驟二、點擊next 設置dhcp-server-space(內網的IP 地址段,僅對192.168.1.0/24 做回應),。
步驟二、點擊next 設置gateway-for-DHCP-Network(分配給內網用戶的網關)。
步驟三、點擊next 設置Address-to-Give-Out(分配給內網可用的IP 地址范圍)。
步驟四、設置DNS-server(內網DNS)。
步驟五、點擊next 設置Lease-Time(內網地址的租約時間).

13。 6、如何設置ARP 綁定?
雖然主機在 IP 網絡中是通過IP 地址通話,但實際上硬件地址(MAC 地址)被用于主機到其他主機的數據傳輸。地址解析 協議Address resolution protocol (ARP) 是提供硬件地址與IP 地址之間的解析。每個路由器都一個ARP 列表,記錄ARP 信息,由IP 地址和相符合的MAC 地址構成,一般ARP 提供動態的IP 與MAC 地址對于關系,自動在ARP 列表中產生。路 由器通過ARP 列表的記錄來回應各個主機的數據。我們也可通過靜態的ARP 記錄,要求路由器只對靜態的ARP 做回應。這 樣就可以避免出現如有用戶擅自修改IP 地址或者通過ARP 病毒影響路由路由器工作。如通過下面的設置:
1. 在WinBox 中添加一個靜態主機的ARP 記錄。 或者通過命令操作:
[admin@RB450] ip arp> add address=10.10.10.10 interface=ether2 mac-address=00:21:00:56:00:12
同樣的我們可以使用: 將所有的的 ARP 記錄修改為靜態的。

2. 設置ether2 interface 僅回應靜態ARP 的請求:
命令操作如下: [admin@RB450] > interface ethernet set ether2 arp=reply-only 編寫:ROSABC.COM

7、如何做端口策略路由: 我們定義訪問網頁的端口,訪問網頁的端口是TCP 80 端口,我們進入/ip firewall mangle 中做數據標記,從 標記中提取路由標記,命名為“web”,因為我們在前面的連接標記中做過了passthrough 的設置,在這里就 不用在重復設置。 然后我們進入/ip route,配置路由我們讓標記好的80 端口通過pppoe-out1 出去: 在這里,如果在ip route rule 里有其他的策略規則出現,我們最好是在/ip route rule 里再次定義80 端口的規 則: 編寫:ROSABC.COM 在 ip route rules 定義的web 標記在web 路由表中去查找路由。

8、網關斷線處理 在多線路情況下,我們可以通過配置備份線路,避免默認網關異常斷開后,其他線路進行備份,即配置默認網關 和備份網關,我們通過定義distance(路由距離)對多個網關進行備份,根據distance 來判斷1 為最優先, 2 其次,依次類推。 如下圖:默認網關的distance 設置為1,并設置check-gateway=ping,通過ping 監測網關狀態: 備份網關的distance 設置為2,并設置check-gateway=ping,通過ping 監測網關狀態:

9、如何設置simple queue 里的PCQ 限速 步驟一、266 臺客戶機的網吧, IP 段是 192.168.10.0/23,進入Queue Type 里配置PCQ 的參數 編寫:ROSABC.COM Rate :每臺主機的帶寬 Limit 是每臺主機數據包 Total limit :是網絡總數據包 該規則僅能容納40 個用戶(total-limit/limit=2000/50=40),解決方法必須增加total-limit 或者減少limit, 但必須保證每個用戶隊列(limit)獲取10-20 個數據包,選擇dst-address 是下載分類,選擇src-address 是 上傳分類,然后進入simple queue 中添加規則,我們設置對內網IP 段PCQ 流控,本地網絡是100 兆共享 這樣一個PCQ 限速就ok 了!如果我們對服務器或者某臺機器不限制的話,再單獨加一個簡單隊游戲服務器不 限制速度,放到PCQ 規則之前.

10、PPTP 和L2TP 服務器設置
RouterOS 做VPN-Server 有三種協議實現,一是點對點的隧道協議PPTP;二是L2TP 和OVPN。此文只做 PPTP 和L2TP 的方法,這兩種是最常用的,方法很簡單,請看以下操作。
第一步、起用這兩個協議種的一個。Winbox 路徑進入ppp 的PPTP Server 和L2TP Server Enabled:啟用PPTP 和L2TP 服務; Max-MTU:最大傳輸單元,最大為1460; Authertication:驗證算法; Keepalive-timeout:路由器開始每秒發送持活時間數據包之后的時間段;
第二步、建立用戶規則。路徑:/ppp profile Local-address、Remote-address:分別為客戶獲取的網關和分配給客戶的IP,可以固定IP 也可以調用/IP POOL 里的地址;然后是DNS-Server 添加DNS 服務器;
第三步、建立賬號。路徑:/ppp secrets Name:賬號名; Password:賬號密碼; Service:選擇賬號的類型,這里選擇L2tp 或PPTP,要和前面開起的協議一致; Profile:選擇在profiles 里建的用戶規則.

11、PPPoE Server 配置
現在我們建立一個 PPPoE-Server,首先我們進入winbox 的ppp 目錄: keepalive-timeout 值通常情況下設置為10。如果你設置為0,路由器將不會斷開客戶端,直到他們自己注銷或是路由 器重啟該用戶帳號才會斷開。解決這個問題,one-session-per-host 屬性需啟用 接下來我們建立 PPPoE Server 的profile,定義客戶的類型我們選用default-encryption(數據加密方式傳輸) .

12、如何配置Hotspot 認證 Hotspot 熱點認證是基于網頁方式,下面是一個網關路由器的網絡參數如下: WAN 口對應外網IP 為10.200.15.119/24,網關為10.200.15.1 LAN 口對應內網IP 為192.168.10.1/24 DNS:61.139.2.69 在根據這些參數我們需要先配置好IP 地址、網關和DNS,并打開DNS 緩存等。 編寫:ROSABC.COM 進入 ip address 配置IP 地址: 進入 ip route 配置網關 進入 ip firewall nat 設置好NAT 偽裝: 編寫:ROSABC.COM 進入 ip dns 配置DNS 緩存: 現在我們的基本參數已經配置完成,現在我們需要配置的Hotspot 參數,配置Hotspot 參數的基本流程是: 1、先進入ip hotspot user profile 設置用戶分組規則 2、然后在ip hotspot user 添加用戶的帳號 3、進入ip hotspot server profile 配置服務器規則 4、在ip pool 中分配IP 地址段,根據需要啟用DHCP 服務 5、在ip hotspot server 添加并啟用hotspot 服務 現在我們進入ip hotspot,并配置ip hotspot use profile 編寫:ROSABC.COM 在 user profile 里面一般配置如下幾個參數: Idle-Timeout:用戶在一定時間內沒有任何流量發出后自動注銷連接 Keepalive-Timeout:路由器主動通過ICMP 探測主機是否在線,如果在一定時間為探測到自動注銷連接(如 果用戶機開啟防火墻,路由器無法探測到) Shared-users:帳號的分享用戶多少,默認為1,即僅一個用戶使用該帳號。 Rate-Limit:分配每個帳號帶寬,格式為“上行 / 下行” Transparent-proxy:透明代理功能是否開啟,一般使用Hotspot 認證建議不用打開此參數。 其他參數請參考具體Hotspot 手冊。 Address pool 這個是DHCP 的地址池,給用戶分配IP,我們可以在ip pool 中分配地址段,具體操作請參考 RouterOS 的DHCP 操作。 在 user 配置用戶登錄帳號和密碼,以及所屬的profile 類型: 編寫:ROSABC.COM 這里默認server 服務器為all, Name 用戶名:cdnat Password:cdnat Profile:用戶組規則,這里選擇我們之前設置的default 規則 配置完用戶規則后,進入ip hotspot server profile,配置服務器器規則。 在 General 選項中選擇 HTML Directory 為默認的hotspot 文件路徑,同時也可以選擇自己定義的文件名路 徑。 編寫:ROSABC.COM 配置 login 登錄方式,一般只啟用http chap 即可,其他選項根據需要開啟,至于Radius 根據需要開啟。 配置完成以上參數后,最后我們啟用Hotspot 服務器: 當啟用完成后,所有對路由器或者外網訪問都需要通過web 認證,在用戶沒有認證的情況下,當用戶隨便輸入 一個網站都會跳轉到認證頁面。 如當輸入 的網站,Hotspot 會強制用戶的web 頁面跳轉到認證頁,如圖: 編寫:ROSABC.COM 用戶輸入帳號cdnat 和密碼cdnat 后,點ok 按鈕即可通過認證,當認證通過后,頁面自動跳轉到 的網站。 這時我們可以在ip hotspot active 中看到用戶登錄的在線情況: 獲取現時用戶列表: [admin@MikroTik] ip hotspot active> print 編寫:ROSABC.COM Flags: R – radius, B – blocked # USER ADDRESS UPTIME SESSION-TIMEOUT IDLE-TIMEOUT 0 cdnat 192.168.10.88 4m17s 55m43s [admin@MikroTik] ip hotspot active> 用戶如果需要注銷,通過輸入192.168.10.1 Hotspot 認證網關,點擊log off 退出登錄頁面

13、如何使用Log Downloader 下載并記錄訪問日志 首先打開Log Downloader 程序,如圖所示,添加需要記錄RouterOS 的日志的IP 地址,并配置相應的參數: 然后在 RotuerOS 打開,并啟用日志的遠程記錄,在ip accounting 中設置: 編寫:ROSABC.COM 注意:該軟件只能通過RouterOS 的web 端口記錄,即web 端口默認必須是80。

14、如何配置Web 代理 步驟一、啟用web-proxy,路徑:ip/web-proxy,打開web-proxy 后點web-proxy-settings,選擇Enabled, 開啟代理功能,圖1 所示。 Port:代理端口,默認為8080; Max-Cache-Size:設最大緩存的值; Cache-On-Disk:緩存的數據保存在硬盤; 其它選項保持默認。 步驟二、在防火墻中設置將80 端口的數據重定向到8080 端口,路徑:/ip firewall nat chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080。圖2、圖3 所示。 注意web-proxy 對CPU 要求非常高,所以當你要使用web-proxy 緩存網頁時,請選擇高性能的硬件

15、如何使用L7 腳本 7 層協議過濾操作是在/ip firewall 中Layer7 Protocols 中,這里我們可以手動編輯Regexp 表達式,具體操 作可以查看正則表達式,配置sniffer 抓包工具分析相關網絡程序的數據規律,下面的圖中看到添加一個新的 qq2009 過濾操作: 編寫:ROSABC.COM 7 層協議通過Regexp 腳本編寫相應應用程序的過濾代碼,Regexp 可以通過網上搜索相關資料了解。在這里我 們已經提供了一些常用程序的7 層協議腳本: 通過在 的“軟件下載”里下載到 MikroTik RouterOS 3.0 7 層協議過濾腳本。 然后我們可以通過FTP 上傳或者直接拖放到Files 對話框中。 之后我們在命令行(Terminal)中導入7 層協議腳本: 編寫:ROSABC.COM 用 import 17-protos.rsc 命令來導入腳本 當系統提示Script file loaded and executed successfully,說明腳本成功導入。 導入腳本后,我們可以在Layer7 Protocols 中看到 導入后,我們就可以在ip firewall 中通過Layer7 Protocols 參數調用,并做相應的規則處理,下面是一個在 防火墻得Filter Rules 里面調用L7 腳本 在這里我們通過禁止登陸QQ 為例,在這里我們禁止所有用戶無法登陸QQ。我們進入ip firewall filter 添加一 條規則選擇chain=forward,進入Advanced 中的Layer7 Protocols 選項選擇qq,然后在Action 中設置為 drop 丟棄。 編寫:ROSABC.COM 因為要禁止登陸QQ,所以選擇action=drop 掉數據

16、如何配置PCC 的mangle 路由標記 我們可以通過選擇in-interface=lan 代替源地址為內網范圍(如固定IP 上網的辦公室和網吧),如果內網 采用的是PPPoE 撥號上網, 我們需要通過源地址src-address 來定義內網范圍, 如 src-address=192.168.100.0/24 規定需要做PCC 地址范圍,下面是普通局域網上的腳本如下: /ip firewall mangle add action=mark-connection chain=prerouting comment=”" disabled=no \ in-interface=lan new-connection-mark=1st_conn passthrough=yes \ per-connection-classifier=both-addresses:2/0 add action=mark-routing chain=prerouting comment=”" connection-mark=1st_conn \ disabled=no in-interface=lan new-routing-mark=1st_route passthrough=yes 提取走第二條線路的連接標記取名位2nd_conn,并從連接里提取路由標記名位2nd_route,設置: per-connection-classifier=both-addresses:2/1,設置in-interface=lan: /ip firewall mangle add action=mark-connection chain=prerouting comment=”" disabled=no \ in-interface=lan new-connection-mark=2nd_conn passthrough=yes \ per-connection-classifier=both-addresses:2/1 add action=mark-routing chain=prerouting comment=”" connection-mark=2nd_conn \ disabled=no in-interface=lan new-routing-mark=2nd_route passthrough=yes 在winbox 在mangle 中設置完成后如下: 編寫:ROSABC.COM 以上配置完成后,我們可以在ip route 配置路由規則