[研究所] MikroTik RouterOS 学习 (5/...
时间:2013-02-14
来源:互联网
前几周经由网友介绍购买了 RouterBoard RB450G, 它和小弟多年使用 Draytek Vigor DrayOS firewall 在设定上及一些观念上差距不小, 不要说入门, 连一开始最基本的 IP 分享器初步的功能都花了不少时间才设定好, 确实 RouterOS 是一个功能非常强的系统, 对於小弟来说要完全上手可能要花不少时间, 也不可能写出个什么教学文件, 只是起个头将一些遇到的问题及解决方法纪录下来, 一方面希望更多同好加入讨论, 另一方面也可给有兴趣的网友一些参考.
文章的列表尽可以由浅入深, 但有些议题是临时用到的, 会马上加进来. 大部份的操作小弟都是透过 winbbox UI, 但也会辅以 Terminal CLI & System Scripts 交互使用, 这部份倒不用强迫自己是否一定都要去用 command line 才显的 Pro, 能够达成目的是最重要的.
RouterBoard or RouteOS 很难? (2013/04/27)
很多网友在看到 RouteOS 的设定或是此篇学习讨论串的第一个印象, 就是 RouteOS 很复杂及难以驾驭, 说实话小弟在接触 RouteOS 两个月后真的觉得 RouteOS 很难, 但这是因为把它拿来做了很多进阶的应用, 而这些应用是一般 IP 分享器上难以实践的, 如果只是把 RouteBoard 当做一般的 IP 分享器来使用, 其实设定上是非常容易的, 尤其现在新的机种都加了 Wizard 快速设定进来了.
MikroTik, RouteOS & RouteBoard 起源
MikroTik 硬体支援列表
Firewall
Internet 连网方式
How to configure a home router (必看-RouterOS最基本的操作)
DHCP Client & PPPoE 上网设定 (值得参考,包含基本的Firewall设定)
PPPoE 上网设定(中文)
Wireless
VPN & Tunnel
国家别 IPv4 Address List 产生器
Bandwidth Management
网路资源
**MikroTik 官网
**MikroTik Wiki (官方文件的宝库, 算是最完整的参考资源)
MikroTik Video Resource
Linux Firewall How-to
YuSong的世界 (不少网路上找到的中文教程出自於 YuSong, 这应该是本人吧!)
电脑茶包 blog (有数篇 RouterOS 的文章都相当有参考价值)
MikroTik RouterOS Firewall Basic ip firewall 各个名词的解说, 浅显易懂.
囧&囧の网路笔记 (提供很多实用设定范例)
China IP 列表 (for bypass gfw)
Taiwan IP 列表 (for launch Taiwan sites)
网路论坛
HKEPC RouterOS 讨论1
HKEPC RouterOS 讨论2
香港电讯茶室 MikroTik/RouterOS forum
Youtube 上 Mikrotik 教学影片
网友开箱文
持续更新中...
文章的列表尽可以由浅入深, 但有些议题是临时用到的, 会马上加进来. 大部份的操作小弟都是透过 winbbox UI, 但也会辅以 Terminal CLI & System Scripts 交互使用, 这部份倒不用强迫自己是否一定都要去用 command line 才显的 Pro, 能够达成目的是最重要的.
RouterBoard or RouteOS 很难? (2013/04/27)
很多网友在看到 RouteOS 的设定或是此篇学习讨论串的第一个印象, 就是 RouteOS 很复杂及难以驾驭, 说实话小弟在接触 RouteOS 两个月后真的觉得 RouteOS 很难, 但这是因为把它拿来做了很多进阶的应用, 而这些应用是一般 IP 分享器上难以实践的, 如果只是把 RouteBoard 当做一般的 IP 分享器来使用, 其实设定上是非常容易的, 尤其现在新的机种都加了 Wizard 快速设定进来了.
MikroTik, RouteOS & RouteBoard 起源
MikroTik 硬体支援列表
Firewall
Internet 连网方式
How to configure a home router (必看-RouterOS最基本的操作)
DHCP Client & PPPoE 上网设定 (值得参考,包含基本的Firewall设定)
PPPoE 上网设定(中文)
Wireless
VPN & Tunnel
国家别 IPv4 Address List 产生器
Bandwidth Management
网路资源
**MikroTik 官网
**MikroTik Wiki (官方文件的宝库, 算是最完整的参考资源)
MikroTik Video Resource
Linux Firewall How-to
YuSong的世界 (不少网路上找到的中文教程出自於 YuSong, 这应该是本人吧!)
电脑茶包 blog (有数篇 RouterOS 的文章都相当有参考价值)
MikroTik RouterOS Firewall Basic ip firewall 各个名词的解说, 浅显易懂.
囧&囧の网路笔记 (提供很多实用设定范例)
China IP 列表 (for bypass gfw)
Taiwan IP 列表 (for launch Taiwan sites)
网路论坛
HKEPC RouterOS 讨论1
HKEPC RouterOS 讨论2
香港电讯茶室 MikroTik/RouterOS forum
Youtube 上 Mikrotik 教学影片
网友开箱文
持续更新中...
作者: pctine 发布时间: 2013-02-14
RouterOS可猛了,希望这篇能引出许多高手。
作者: alwayssmileruten 发布时间: 2013-02-14
跟谁买? 买什么版本?
RouterOS 不外以两种形式销售, 一种是自备 x86 电脑, 直接向原厂购买软体授权安装, 另一种为购买原厂所销售的 RouterBoard, 对於需要较高效能的用户, 可以自备 x86 PC, 但小弟并没有很多用户, 所以直接购买 RouterBoard, 已内含软硬体授权是最方便的.
露天及 Yahoo 拍卖都有不少卖家在卖, 从 Mikrotik 官网查询, 台湾有二家代理商, 台北那家小弟没有连络过(应该是新立通), 但台中的代理商买了一台 RB750GL, 由於除夕前刚买, 所以也不晓得到时候候服务如何? 日后再来补上.
另一台更早的 RB450G 是跟露天 routeros 买的, 说早其实也只比 RB750GL 早一个星期, 好处是该卖家有提供 msn 帐号, 所以有时候有些问题可以直接线上询问. 但可能卖家机器卖的多了, 还是刚好碰到过年, 所以大致问了几个问题, 说实话并不会让你有贴心的感觉, 就有一搭没一搭的, 或许再深入的问题要付费吧! 不过卖家倒是有附上大陆 "大玩家 ROS全套视频教程, 从入门到精通" 的载点, 及一些参考资料, 所以买机器又送丰富的参考文件也算不错啦!
所以跟谁买呢? 小弟觉得就看保固吧! 毕竟人家一台也没有赚多少, 太深入的问题可能也不会回你, 至於服务就多靠大家互相帮助或是 Google 大神比较实在.
至於买二台只是小弟要做测试及实验比较方便而已, 所以才买了一台 RB450G & RB750GL, 本来想说跟不同人购买可以得到二倍技术服务, 不过可能是空想. RB750GL 授权为 level 4, 可升级至 v7.x, 而 RB450G 为 Level 5, 可升级至 v7.x
有关 License Level 可以参考这里
在该说明里 Level4 Price US$45, Level5 Price US$95 指的就是如果自备 x86 硬体, 单独向 MikroTik 购买软体授权的金额. 所以 RB750GL 市价约 NT$2100, 已内含 Level4 license US$45 算起来是很值得的.
至於 RouterBoard 的效能在官网也有参考资料, 例如 RB750GL, 大家直接至官网参考即可.
RouterOS 不外以两种形式销售, 一种是自备 x86 电脑, 直接向原厂购买软体授权安装, 另一种为购买原厂所销售的 RouterBoard, 对於需要较高效能的用户, 可以自备 x86 PC, 但小弟并没有很多用户, 所以直接购买 RouterBoard, 已内含软硬体授权是最方便的.
露天及 Yahoo 拍卖都有不少卖家在卖, 从 Mikrotik 官网查询, 台湾有二家代理商, 台北那家小弟没有连络过(应该是新立通), 但台中的代理商买了一台 RB750GL, 由於除夕前刚买, 所以也不晓得到时候候服务如何? 日后再来补上.
另一台更早的 RB450G 是跟露天 routeros 买的, 说早其实也只比 RB750GL 早一个星期, 好处是该卖家有提供 msn 帐号, 所以有时候有些问题可以直接线上询问. 但可能卖家机器卖的多了, 还是刚好碰到过年, 所以大致问了几个问题, 说实话并不会让你有贴心的感觉, 就有一搭没一搭的, 或许再深入的问题要付费吧! 不过卖家倒是有附上大陆 "大玩家 ROS全套视频教程, 从入门到精通" 的载点, 及一些参考资料, 所以买机器又送丰富的参考文件也算不错啦!
所以跟谁买呢? 小弟觉得就看保固吧! 毕竟人家一台也没有赚多少, 太深入的问题可能也不会回你, 至於服务就多靠大家互相帮助或是 Google 大神比较实在.
至於买二台只是小弟要做测试及实验比较方便而已, 所以才买了一台 RB450G & RB750GL, 本来想说跟不同人购买可以得到二倍技术服务, 不过可能是空想. RB750GL 授权为 level 4, 可升级至 v7.x, 而 RB450G 为 Level 5, 可升级至 v7.x
有关 License Level 可以参考这里
在该说明里 Level4 Price US$45, Level5 Price US$95 指的就是如果自备 x86 硬体, 单独向 MikroTik 购买软体授权的金额. 所以 RB750GL 市价约 NT$2100, 已内含 Level4 license US$45 算起来是很值得的.
至於 RouterBoard 的效能在官网也有参考资料, 例如 RB750GL, 大家直接至官网参考即可.
作者: pctine 发布时间: 2013-02-14
第一次设定 RouterOS
请参考官方的文件
2012/02/20 更新:
刚买到 RB450G 时, 里面是卖家已经设定好的, 所以到底 RouterBoard 初始的设定到底为何? 小弟也不晓得, 但今天做 system reset, 乾脆从头自己做一次, 发觉 RouterBoard 初上手一点都不难, 基本设定其实很简单, 因为系统都已经帮你预设好一些参数了.
以下是系统第一次设置时的预设值.
WAN: port1, 自动取得IP
LAN: port2~5, IP=192.168.88.1, DHCP server 开启.
其他上网 NAT 也都设置好了.
这台 RouterBoard 接在中华电信的 ADSL MODEM 上, 大抵都是能直接上网的. 其他细部的设定, 例如 pppoe 可参考官方文件或是网友的分享文.
Quick Set
在某些机型的新版 firmware, 在 winbox & Webfig 网页设定已提供 Quick Set 功能, 方便 User 快速设定 RouterBoard 功能.
****************************************************************************
以下是之前写的.
官方文件已经写的很清楚了, 要设定 RouterOS 方法很多, 以前已经惯用 WEB 去设定 IP 分享器了, 刚拿到 RB450G 第一个想到的就是开 browser 去设定.
在 RB450G 上面有 5 个 switch port, from Port1~Port5, 它和一般 IP 分享器不同, 并没有限定那个 Port 是 WAN, 那个是 LAN, 完全可以根据自己的需求去组合, 刚拿到时预设 Port1为 WAN, Port2~5为 LAN.
设定的过程就跳过了, 大家可以参考官方的文件, 最快的方式为下载 winbox 程式, 执行它就可以找到 LAN区网内所有的 RouterOS 装置了.
如果你向台中购买 RouterBoard, 它会附一个 PC 端的设定程式, 猜想它应该是使用 RouterOS API 及自行开发程式写出来的, 目的就是让已经惯用一般 IP 分享器的 USER 很快上手, 不过小弟在前一周已经习惯用 winbox 了, 所以就没有去碰那个程式, 实际上应该也用不著了.
RouterOS 的设定画面大不同
对於已经习惯一般分享器设定方式的 user 来说. 如下为 Vigor 2920n
各个功能大致上用 WAN, LAN, NAT, Firewall 的方式排列, 但 RouterOS winbox 却是大不同.
刚使用时还真的不晓得如何下手. 例如一般大家常用的 PPPoE 上网, 以及 DHCP 配发 IP等. 就必须从
interface pppoe-client
ip address
ip dhcp-server setup
ip firewall nat
等数个功能去组合出来. 不过用一阵子后就大致了解它的设定方法了.
另外必须要提的是, RouterOS 所提供的 CLI (command-line) 它是完全和 winbox 功能相互对应的, 所以大家很常看到一些文件都只列出 command, 并不用撷图, 因为 command line 就足以完成所有的设定了, 在学习上可以直接汇入所下的 command (script), 而透过 winbox 所做的设定也可以直接 export 成 script, 这是 RouterOS 相当方便的地方.
其他说明
winbox 是最多人使用的设定工具. 它可以搜寻 LAN 网路内所有的 RouterBoard 装置, 如下点选箭头处即为 scan 区网设备, 另 winbox 可以透过 Mac address or IP address 两种方式连线 RouterBoard, 所以即使你的 PC 和 RouterBoard 在不同的 subnet, 仍然可以透过 Mac address 连线设定.(Mouse点的位置不同,连线的方式就不同)
运用 winbox 特有的 mac address 连线方式, 即使 LAN 上多台 Router 在设定时不小心造成 IP Address 冲突, 仍然可以登入 winbox 重新设定, 这是 MikroTik 特有的方式.
请参考官方的文件
2012/02/20 更新:
刚买到 RB450G 时, 里面是卖家已经设定好的, 所以到底 RouterBoard 初始的设定到底为何? 小弟也不晓得, 但今天做 system reset, 乾脆从头自己做一次, 发觉 RouterBoard 初上手一点都不难, 基本设定其实很简单, 因为系统都已经帮你预设好一些参数了.
以下是系统第一次设置时的预设值.
WAN: port1, 自动取得IP
LAN: port2~5, IP=192.168.88.1, DHCP server 开启.
其他上网 NAT 也都设置好了.
这台 RouterBoard 接在中华电信的 ADSL MODEM 上, 大抵都是能直接上网的. 其他细部的设定, 例如 pppoe 可参考官方文件或是网友的分享文.
Quick Set
在某些机型的新版 firmware, 在 winbox & Webfig 网页设定已提供 Quick Set 功能, 方便 User 快速设定 RouterBoard 功能.
****************************************************************************
以下是之前写的.
官方文件已经写的很清楚了, 要设定 RouterOS 方法很多, 以前已经惯用 WEB 去设定 IP 分享器了, 刚拿到 RB450G 第一个想到的就是开 browser 去设定.
在 RB450G 上面有 5 个 switch port, from Port1~Port5, 它和一般 IP 分享器不同, 并没有限定那个 Port 是 WAN, 那个是 LAN, 完全可以根据自己的需求去组合, 刚拿到时预设 Port1为 WAN, Port2~5为 LAN.
设定的过程就跳过了, 大家可以参考官方的文件, 最快的方式为下载 winbox 程式, 执行它就可以找到 LAN区网内所有的 RouterOS 装置了.
如果你向台中购买 RouterBoard, 它会附一个 PC 端的设定程式, 猜想它应该是使用 RouterOS API 及自行开发程式写出来的, 目的就是让已经惯用一般 IP 分享器的 USER 很快上手, 不过小弟在前一周已经习惯用 winbox 了, 所以就没有去碰那个程式, 实际上应该也用不著了.
RouterOS 的设定画面大不同
对於已经习惯一般分享器设定方式的 user 来说. 如下为 Vigor 2920n
各个功能大致上用 WAN, LAN, NAT, Firewall 的方式排列, 但 RouterOS winbox 却是大不同.
刚使用时还真的不晓得如何下手. 例如一般大家常用的 PPPoE 上网, 以及 DHCP 配发 IP等. 就必须从
interface pppoe-client
ip address
ip dhcp-server setup
ip firewall nat
等数个功能去组合出来. 不过用一阵子后就大致了解它的设定方法了.
另外必须要提的是, RouterOS 所提供的 CLI (command-line) 它是完全和 winbox 功能相互对应的, 所以大家很常看到一些文件都只列出 command, 并不用撷图, 因为 command line 就足以完成所有的设定了, 在学习上可以直接汇入所下的 command (script), 而透过 winbox 所做的设定也可以直接 export 成 script, 这是 RouterOS 相当方便的地方.
其他说明
winbox 是最多人使用的设定工具. 它可以搜寻 LAN 网路内所有的 RouterBoard 装置, 如下点选箭头处即为 scan 区网设备, 另 winbox 可以透过 Mac address or IP address 两种方式连线 RouterBoard, 所以即使你的 PC 和 RouterBoard 在不同的 subnet, 仍然可以透过 Mac address 连线设定.(Mouse点的位置不同,连线的方式就不同)
运用 winbox 特有的 mac address 连线方式, 即使 LAN 上多台 Router 在设定时不小心造成 IP Address 冲突, 仍然可以登入 winbox 重新设定, 这是 MikroTik 特有的方式.
作者: pctine 发布时间: 2013-02-14
什么是 Package(套件)
Package
由於小弟有申请 Hinet IPv6 Dual Stack service, 拿到 RB450G 时, 完成了初步的上网设定, 接著想到的是, 它支援 IPv6 吗? 在 winbox 里面翻遍了却没有看到任何 IPv6 的字眼, 后来才晓得原来要装上 IPv6 package 才行.
至 Mikrotik 官网 download 区, 找到 RB450G (属於 mipsbe base) 找到 All packages (all_packages-mips.zip) 并下载. 解压缩找到 ipv6-5.23-mipsbe.npk.
开启 winbox > Files, 并直接将 npk file 托拉至 winbox 中, 这样 npk file 就上传至 winbox 了, 记得 reboot (system reboot) 就看到多了一个 IPv6 function 了. (你也可以用 ftp 上传)
另外 ntp server package 也是可以自行安装的套件.
那些套件用不著?
对於用不著的套件可以从 system package 删除或 disable. 如果你只是用到一些基本的 IP 分享器功能, 有些套件是较少用到的.
calea
gps
hotspot
ipv6 (除非你有 IPv6)
lcd (LCD panel support)
mpls
ntp (除非你要启用 ntp server, 不然 system 模组已含 sntp client)
routing (Dynamic routing, 如 RIP, OSPF & BGP)
ups
user-manager
wireless (除非你是用无线机种)
如果你的机器内建容量不大, 那么大可将用不著的套件删除.
其他说明
1.starting 6.0beta3 routerboard.npk is no more. All the functionality from it is integrated into system package.
Package
由於小弟有申请 Hinet IPv6 Dual Stack service, 拿到 RB450G 时, 完成了初步的上网设定, 接著想到的是, 它支援 IPv6 吗? 在 winbox 里面翻遍了却没有看到任何 IPv6 的字眼, 后来才晓得原来要装上 IPv6 package 才行.
至 Mikrotik 官网 download 区, 找到 RB450G (属於 mipsbe base) 找到 All packages (all_packages-mips.zip) 并下载. 解压缩找到 ipv6-5.23-mipsbe.npk.
开启 winbox > Files, 并直接将 npk file 托拉至 winbox 中, 这样 npk file 就上传至 winbox 了, 记得 reboot (system reboot) 就看到多了一个 IPv6 function 了. (你也可以用 ftp 上传)
另外 ntp server package 也是可以自行安装的套件.
那些套件用不著?
对於用不著的套件可以从 system package 删除或 disable. 如果你只是用到一些基本的 IP 分享器功能, 有些套件是较少用到的.
calea
gps
hotspot
ipv6 (除非你有 IPv6)
lcd (LCD panel support)
mpls
ntp (除非你要启用 ntp server, 不然 system 模组已含 sntp client)
routing (Dynamic routing, 如 RIP, OSPF & BGP)
ups
user-manager
wireless (除非你是用无线机种)
如果你的机器内建容量不大, 那么大可将用不著的套件删除.
其他说明
1.starting 6.0beta3 routerboard.npk is no more. All the functionality from it is integrated into system package.
作者: pctine 发布时间: 2013-02-14
如何升级firmware
官方文件
注意:在 upgrade or downgrade firmware 时, 系统会自动重启, 此时请勿去关闭 RouterBoard 电源, 更新约需 1~5 分钟, 待听到 beep 两声, 即可重新再连上 Router, (ps:RB750GL 没有 speaker, 所以升级时就耐心的等一下!)
Upgrade
根据所使用的 RouterBoard 至官网 download 区, 下载最新之 All Packages 并解开. 将所需之套件全数托拉至 winbox > files, 然后进入 system > reboot 就会自动更新了. (或是利用 ftp binary mode 上传至 Routerboard), 在更新时必须特别注意, RouterBoard 在上传更新档后, disk space 必须有 2MB 的 free space 供升级用, 对於记忆体容量较少机种 or 开启 web-proxy 功能的必须注意.
v5.21 upgrade to v5.23
另外 RouterOS 支援 auto upgrade, 此部份请参考官方文件.
线上更新
Downgrade
RouterOS 也允许降版, 不过在 downgrade 后, 有可能造成原本的设定 lost, 必须重新设定(不过小弟测过设定都还在啦!). 将旧版的 All Packages 档案全数上传至 files, 再於 system > packages 点选 [downgrade] 即可.
v5.23 downgrade to v5.21
整理
upgrade: 新版 all packages 解开并上传至 files, 再於 system > reboot 即可.
downgrade: 旧版 all packages 解开并上传至 files, 再於 system > package > downgrade.
官方文件
注意:在 upgrade or downgrade firmware 时, 系统会自动重启, 此时请勿去关闭 RouterBoard 电源, 更新约需 1~5 分钟, 待听到 beep 两声, 即可重新再连上 Router, (ps:RB750GL 没有 speaker, 所以升级时就耐心的等一下!)
Upgrade
根据所使用的 RouterBoard 至官网 download 区, 下载最新之 All Packages 并解开. 将所需之套件全数托拉至 winbox > files, 然后进入 system > reboot 就会自动更新了. (或是利用 ftp binary mode 上传至 Routerboard), 在更新时必须特别注意, RouterBoard 在上传更新档后, disk space 必须有 2MB 的 free space 供升级用, 对於记忆体容量较少机种 or 开启 web-proxy 功能的必须注意.
v5.21 upgrade to v5.23
另外 RouterOS 支援 auto upgrade, 此部份请参考官方文件.
线上更新
Downgrade
RouterOS 也允许降版, 不过在 downgrade 后, 有可能造成原本的设定 lost, 必须重新设定(不过小弟测过设定都还在啦!). 将旧版的 All Packages 档案全数上传至 files, 再於 system > packages 点选 [downgrade] 即可.
v5.23 downgrade to v5.21
整理
upgrade: 新版 all packages 解开并上传至 files, 再於 system > reboot 即可.
downgrade: 旧版 all packages 解开并上传至 files, 再於 system > package > downgrade.
作者: pctine 发布时间: 2013-02-14
指定 DNS Server
通常在设定 IP 分享器时, 若 ISP 为 HiNet, 小弟较常将 DNS 指向 168.95.1.1 & 168.95.192.1, 但 RouterOS 内含 DNS Cache, 所以在设定 DHCP server 时, 可以直接将 DNS server 指向 RouterOS IP.
例如 RB750GL IP=192.168.22.254.
另外於 ip dns 设定 RouterOS 本身做 DNS 查询时所引用的 DNS Server IP.
在此处可以看到第三个为 Hinet IPv6 DNS server IP. 此处必须特别提到的, 当初 IPv6 的设定是热心网友协助帮忙设定的, 当时它有帮我在此加上 IPv6 DNS server IP, 但后来发觉此设定却一直会跑掉. 后来发觉是 pppoe 那里的设定所影响的.
在 pppoe 里的设定有一 "Use Peer DNS", 若勾选该选项, 则 DNS server IP 会由 ISP 那端取得, 并自动代入到 ip dns, 每每造成自行设定的 IPv6 DNS IP 被拿掉, 此处是必须注意的地方.
另外 RouterOS DNS 也可以自行加入 static 对应. 例如将区网内的网站, 直接用内网 IP 取代掉.
ps:那个 IPv6 DNS IP 在 test-ipv6.com 测试时, 会影响到是否拿到 10/10 分.
2013/03/18补充: Dynamic Servers
当 WAN 端使用 dhcp-client 上网, 并设定 Use Peer DNS, 则 RouterOS 会将所取得的 DNS Server IP 视为 Dynamic Server, 以防止 User 自行设定的 DNS Server 被覆盖.
通常在设定 IP 分享器时, 若 ISP 为 HiNet, 小弟较常将 DNS 指向 168.95.1.1 & 168.95.192.1, 但 RouterOS 内含 DNS Cache, 所以在设定 DHCP server 时, 可以直接将 DNS server 指向 RouterOS IP.
例如 RB750GL IP=192.168.22.254.
另外於 ip dns 设定 RouterOS 本身做 DNS 查询时所引用的 DNS Server IP.
在此处可以看到第三个为 Hinet IPv6 DNS server IP. 此处必须特别提到的, 当初 IPv6 的设定是热心网友协助帮忙设定的, 当时它有帮我在此加上 IPv6 DNS server IP, 但后来发觉此设定却一直会跑掉. 后来发觉是 pppoe 那里的设定所影响的.
在 pppoe 里的设定有一 "Use Peer DNS", 若勾选该选项, 则 DNS server IP 会由 ISP 那端取得, 并自动代入到 ip dns, 每每造成自行设定的 IPv6 DNS IP 被拿掉, 此处是必须注意的地方.
另外 RouterOS DNS 也可以自行加入 static 对应. 例如将区网内的网站, 直接用内网 IP 取代掉.
ps:那个 IPv6 DNS IP 在 test-ipv6.com 测试时, 会影响到是否拿到 10/10 分.
2013/03/18补充: Dynamic Servers
当 WAN 端使用 dhcp-client 上网, 并设定 Use Peer DNS, 则 RouterOS 会将所取得的 DNS Server IP 视为 Dynamic Server, 以防止 User 自行设定的 DNS Server 被覆盖.
作者: pctine 发布时间: 2013-02-14
加强 RouterOS 的安全防护
IP/Services
装了 RouterBoard 后, 观察其 log 发觉从 internet 端 ssh 进来 try 密码的程式还不少, 后来索性把一些用不著的服务关掉了.
system 预设开放的 management port 不少, 最后只留了一个 winbox port.
另外也可以指定 service 仅允许指定的 subnet 连线.
另外在 ip / firewall / Service Ports 里面列的是 ALG (application-level gateway) 的设定, 一般是不用去动它的.
IP/Services
装了 RouterBoard 后, 观察其 log 发觉从 internet 端 ssh 进来 try 密码的程式还不少, 后来索性把一些用不著的服务关掉了.
system 预设开放的 management port 不少, 最后只留了一个 winbox port.
另外也可以指定 service 仅允许指定的 subnet 连线.
另外在 ip / firewall / Service Ports 里面列的是 ALG (application-level gateway) 的设定, 一般是不用去动它的.
作者: pctine 发布时间: 2013-02-14
DDNS IP 自动更新
有不少网友宽频是使用动态 IP 的服务, 而欲从 Internet 存取家中的 Server (web or NAS...) 就必须透过 DDNS 动态 DNS 的服务.
一般 IP 分享器都会提供 DDNS 的设定, 比较常用的是 dyndns, no-ip, changeip 这类, 至於如何申请这些服务请直接 google 参考.
在 RouterOS DDNS 必须透过 script 方式为之, 这是和一般 IP 分享器比较不同的地方.
参考官方的文件做就对了.
DDNS script for NO-IP DNS
DDNS script for dynDNS
DDNS script for ChangeIP.com
有不少网友宽频是使用动态 IP 的服务, 而欲从 Internet 存取家中的 Server (web or NAS...) 就必须透过 DDNS 动态 DNS 的服务.
一般 IP 分享器都会提供 DDNS 的设定, 比较常用的是 dyndns, no-ip, changeip 这类, 至於如何申请这些服务请直接 google 参考.
在 RouterOS DDNS 必须透过 script 方式为之, 这是和一般 IP 分享器比较不同的地方.
参考官方的文件做就对了.
DDNS script for NO-IP DNS
DDNS script for dynDNS
DDNS script for ChangeIP.com
作者: pctine 发布时间: 2013-02-15
pctine wrote:
加强 RouterOS 的安全防护
IP/Services
装了 RouterBoard 后, 观察其 log 发觉从 internet 端 ssh 进来 try 密码的程 式还不少, 后来索性把一些用不著的服务关掉了. ...
欢迎 pctine兄进入ROS的世界哩!
ROS / intranet Server 的安全可以参考采用 port knocking 机制,超好用(各种网路服务完全不用担心可全开),安全性又高(想要多复杂就能多复杂)。
实作可参考 http://wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router
加强 RouterOS 的安全防护
IP/Services
装了 RouterBoard 后, 观察其 log 发觉从 internet 端 ssh 进来 try 密码的程 式还不少, 后来索性把一些用不著的服务关掉了. ...
欢迎 pctine兄进入ROS的世界哩!
ROS / intranet Server 的安全可以参考采用 port knocking 机制,超好用(各种网路服务完全不用担心可全开),安全性又高(想要多复杂就能多复杂)。
实作可参考 http://wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router
作者: npc 发布时间: 2013-02-15
NAT loopback
什么是 NAT Loopback
RouterOS 要经过设定才支援 NAT loopback. 在原厂的文件称之为 "Hair Pin NAT" (因为从 LAN 端的 PC 去存取 LAN 端上的 Server 其连线的路径看起来像 'hair pin' 吧)
参考这个设定做就对了
相关资料: Hair Pin NAT
换个做法
另外一种解法是利用 DNS server, 将外网的 IP 替换为内网 IP, 启用 RouterOS 内建的 DNS server, 假设内网有一 ftp server: ftp.test.com.tw, IP=192.168.1.100, 在 RouterOS DNS server 做 static host 设定, 将 ftp.test.com.tw 指向 192.168.1.100 即可.
什么是 NAT Loopback
RouterOS 要经过设定才支援 NAT loopback. 在原厂的文件称之为 "Hair Pin NAT" (因为从 LAN 端的 PC 去存取 LAN 端上的 Server 其连线的路径看起来像 'hair pin' 吧)
参考这个设定做就对了
相关资料: Hair Pin NAT
换个做法
另外一种解法是利用 DNS server, 将外网的 IP 替换为内网 IP, 启用 RouterOS 内建的 DNS server, 假设内网有一 ftp server: ftp.test.com.tw, IP=192.168.1.100, 在 RouterOS DNS server 做 static host 设定, 将 ftp.test.com.tw 指向 192.168.1.100 即可.
作者: pctine 发布时间: 2013-02-15
另外,针对内部使用者常上的网页,RB450G可外插记忆卡的优势即显现,透过启用 Web proxy ,就能有效降低对外频宽需求。
作者: npc 发布时间: 2013-02-15
Interface Bonding
RB750GL & RB450G 都内含 5 port gigabit switch, 透过 Interface Bonding 可以将多张网卡 bonding 成一张 virtual NIC (port-trunking), 不管是做 failover or 频宽合并都很实用.
Interface Bonding
每一个 member port 的 "Master Port" 要设为 none.
这里把每一个 member port 都加进来并设定 mode.
根据不同的 mode, 有些相对应的设备 (switch, NAS or server) 也要做适当的设定才能 work, 例如 802.3ad.
RB750GL & RB450G 都内含 5 port gigabit switch, 透过 Interface Bonding 可以将多张网卡 bonding 成一张 virtual NIC (port-trunking), 不管是做 failover or 频宽合并都很实用.
Interface Bonding
每一个 member port 的 "Master Port" 要设为 none.
这里把每一个 member port 都加进来并设定 mode.
根据不同的 mode, 有些相对应的设备 (switch, NAS or server) 也要做适当的设定才能 work, 例如 802.3ad.
作者: pctine 发布时间: 2013-02-15
npc wrote:
另外,针对内部使用者常上的网页,RB450G可外插记忆卡的优势即显现,透过启用 Web proxy ,就能有效降低对外频宽需求。...
不过那还要再把外壳拆开及拆螺丝, 暂时还没有加 memory card 上去测.
另外,针对内部使用者常上的网页,RB450G可外插记忆卡的优势即显现,透过启用 Web proxy ,就能有效降低对外频宽需求。...
不过那还要再把外壳拆开及拆螺丝, 暂时还没有加 memory card 上去测.
作者: pctine 发布时间: 2013-02-15
pctine大大, 香港那边也有不少RouterOS高手:
http://www.hkepc.com/forum/viewthread.php?tid=1887469&highlight=mikrotik
http://www.hkepc.com/forum/viewthread.php?tid=1622111&highlight=
http://www.telecom-cafe.com/forum/forumdisplay.php?fid=48
http://www.hkepc.com/forum/viewthread.php?tid=1887469&highlight=mikrotik
http://www.hkepc.com/forum/viewthread.php?tid=1622111&highlight=
http://www.telecom-cafe.com/forum/forumdisplay.php?fid=48
作者: mandymak 发布时间: 2013-02-15
npc wrote:
另外,针对内部使用者...
查了一下似乎是可以做成 Transparent Proxy
这点到是挺吸引人的,要不然内部PC一堆又没AD的环境
一台一台去设Proxy可是会疯掉的
作者: HOPE000 发布时间: 2013-02-15
系统设定之还原及备份
官方文件: Configuration Manager
备份 RouterOS 设定的方法有二种, 一种是从 Files 进去点选 'Backup', 产生的为 binary file, 另一种由 CLI export, 产生的是文字档.
於 Files 有 [Backup] & [Restore] button, 点选 Backup 即会将当时的设定存成一 binary file, 同样的, 如欲还原设定只要选择一 backup file, 并点选 [Restore] button 即可.
另外一种做法是进入 terminal, 透过 export command 将设定档汇出, 在做整机的设定备份及还原, 小弟还是比较惯用 files backup & restore, 但对於单一子功能, 会较习惯将其 export 成 script file, 这样日后在设定上会快些.
如下, 先 export to mybackup.rsc file, 日后可以用 import 指令汇入.
[admin@MikroTik] > file print
# NAME TYPE
0 MikroTik-20022013-1158.backup backup 3
1 MikroTik-20022013-1154.backup backup 3
2 micro-sd disk
3 micro-sd/lost+found directory
4 micro-sd/web-proxy2 web-proxy store
[admin@MikroTik] > export file=mybackup
[admin@MikroTik] > file print
# NAME TYPE
0 MikroTik-20022013-1158.backup backup 3
1 MikroTik-20022013-1154.backup backup 3
2 micro-sd disk
3 mybackup.rsc script
4 micro-sd/lost+found directory
5 micro-sd/web-proxy2 web-proxy store
[admin@MikroTik] >
[admin@MikroTik] > import mybackup.rsc
System Reset
利用 system reset command 可以重置 RouterBoard, 所有设定恢复出厂值, 但 RourterBoard 会保留在 Files 里面的档案(包含之前的设定档), 恢复出厂值后, IP为0.0.0.0, login name=admin, password空白, 之前提及, 即使没有 IP address, winbox 仍然能够透过 mac address 连线, 所以 user 只要进入 files > restore, 马上可以恢复所有的设定, 这是 RouterBoard 设计非常好的部份.
2013/02/24 补充
有关於 export command 汇出整机的 script file, 实际上并无法再利用 import command 将其全部重新汇入系统, 这是 RouterOS 设计上本身的问题, 此部份日后会再详述.
官方文件: Configuration Manager
备份 RouterOS 设定的方法有二种, 一种是从 Files 进去点选 'Backup', 产生的为 binary file, 另一种由 CLI export, 产生的是文字档.
於 Files 有 [Backup] & [Restore] button, 点选 Backup 即会将当时的设定存成一 binary file, 同样的, 如欲还原设定只要选择一 backup file, 并点选 [Restore] button 即可.
另外一种做法是进入 terminal, 透过 export command 将设定档汇出, 在做整机的设定备份及还原, 小弟还是比较惯用 files backup & restore, 但对於单一子功能, 会较习惯将其 export 成 script file, 这样日后在设定上会快些.
如下, 先 export to mybackup.rsc file, 日后可以用 import 指令汇入.
[admin@MikroTik] > file print
# NAME TYPE
0 MikroTik-20022013-1158.backup backup 3
1 MikroTik-20022013-1154.backup backup 3
2 micro-sd disk
3 micro-sd/lost+found directory
4 micro-sd/web-proxy2 web-proxy store
[admin@MikroTik] > export file=mybackup
[admin@MikroTik] > file print
# NAME TYPE
0 MikroTik-20022013-1158.backup backup 3
1 MikroTik-20022013-1154.backup backup 3
2 micro-sd disk
3 mybackup.rsc script
4 micro-sd/lost+found directory
5 micro-sd/web-proxy2 web-proxy store
[admin@MikroTik] >
[admin@MikroTik] > import mybackup.rsc
System Reset
利用 system reset command 可以重置 RouterBoard, 所有设定恢复出厂值, 但 RourterBoard 会保留在 Files 里面的档案(包含之前的设定档), 恢复出厂值后, IP为0.0.0.0, login name=admin, password空白, 之前提及, 即使没有 IP address, winbox 仍然能够透过 mac address 连线, 所以 user 只要进入 files > restore, 马上可以恢复所有的设定, 这是 RouterBoard 设计非常好的部份.
2013/02/24 补充
有关於 export command 汇出整机的 script file, 实际上并无法再利用 import command 将其全部重新汇入系统, 这是 RouterOS 设计上本身的问题, 此部份日后会再详述.
作者: pctine 发布时间: 2013-02-15
提一提pctine大大使用RouterBoard必须备有1条serial线, 原因如下:
http://www.hkepc.com/forum/viewthread.php?tid=1872292&extra=&page=1
http://www.hkepc.com/forum/viewthread.php?tid=1872292&extra=&page=1
作者: mandymak 发布时间: 2013-02-15
Password reset & 恢复出厂值
忘了 RouterOS 密码怎么办? 基本上密码忘了就只能 reset system 并重新设置.
这是原厂的说明文件
如果你要看中文说明
恢复出厂值 - 所有设定 reset
用 RB951G 测试, 先用起子短路该 jumper, 然后插上电源, 大约几秒钟后听到哔哔后放开就完成 reset to factory defult 了.
作用同 teminal 下 system reset-configuration 指令.
(取自官网)
忘了 RouterOS 密码怎么办? 基本上密码忘了就只能 reset system 并重新设置.
这是原厂的说明文件
如果你要看中文说明
恢复出厂值 - 所有设定 reset
用 RB951G 测试, 先用起子短路该 jumper, 然后插上电源, 大约几秒钟后听到哔哔后放开就完成 reset to factory defult 了.
作用同 teminal 下 system reset-configuration 指令.
(取自官网)
作者: pctine 发布时间: 2013-02-15
mandymak wrote:
pctine大大, ...
感谢分享, 已经把 link 加在 1F.
作者: pctine 发布时间: 2013-02-15
mandymak wrote:
使用RouterBoard必须备有1条serial线, 原因如下:
http://www.hkepc.com/forum/viewthread.php?tid=1872292&extra=&page=1...
这部份应该也可以直接用 Netinstall 来重新安装 RouterOS.
Netinstall 使用说明
使用RouterBoard必须备有1条serial线, 原因如下:
http://www.hkepc.com/forum/viewthread.php?tid=1872292&extra=&page=1...
这部份应该也可以直接用 Netinstall 来重新安装 RouterOS.
Netinstall 使用说明
作者: pctine 发布时间: 2013-02-15
是的, 不过救机过程还是需要用到serial线, 跟其他商用Router一样 (这是小妹的个人经验, 两坛中的雯雯正是小妹). 当学会RouterOS其他商用级别Router就会容易学了 (小妹这次来Mobile01主要是取经学习Fortigate, 平时也在Mobile01学习到不少东西, 不过主要是做CDROM).
小妹亦是Draytek爱用者, 4部Vigor在服役中 (两部Vigor 3200n+两部Vigor 2920Vn). Draytek确是跟其他商用Router很不同, 特别是firewall方面, 基本上不用做配置, 简单做一下上网配置就可以上到网了.
小妹亦是Draytek爱用者, 4部Vigor在服役中 (两部Vigor 3200n+两部Vigor 2920Vn). Draytek确是跟其他商用Router很不同, 特别是firewall方面, 基本上不用做配置, 简单做一下上网配置就可以上到网了.
作者: mandymak 发布时间: 2013-02-15
Web Proxy & Transparent Proxy
RouterOS 内建 web proxy 功能, 但启用此功能请确认所使用的 RouterBoard 的硬体效能足以应付所有的用户数.
在设定上非常容易, IP > Web Proxy 启用此功能, 并在 browser 端指向此台 RouterOS 即可, 预设的 port number 为 8080
官方的文件也有提到 Transparent web proxy 设定方式, 只是加入一条 NAT rule, 将 80 port 导向 web proxy 8080 即可.
参考官方图文说明最快:
Proxy on RouterBoard
How to make transparent web proxy
如果你打算启用 web proxy, RB450G 可能比较适合, 毕竟它的效能比 RB750GL 好, 又可以再插 micro SD card 做为 proxy cache. (记得在 store list 将此设为 active)
这是在 RB450G 插了一张 8G microSD card 做为 web proxy 之用.
IPv4 only?
虽然 MikroTik 官网指 web proxy 支援 IPv6, 但小弟稍做测试似乎不全然如此.
启用了 Web Proxy 后, 此 web proxy 只支援 IPv4 网站, 所以如果上类似 ipv6.google.com 此种 IPv6 only 网站就会发生错误, 这是要特别注意的地方. 其他如 www.youtube.com 在 win7 下它会优先采用 IPv6, 透过 web proxy 后就只能走 IPv4 了.
RouterOS 内建 web proxy 功能, 但启用此功能请确认所使用的 RouterBoard 的硬体效能足以应付所有的用户数.
在设定上非常容易, IP > Web Proxy 启用此功能, 并在 browser 端指向此台 RouterOS 即可, 预设的 port number 为 8080
官方的文件也有提到 Transparent web proxy 设定方式, 只是加入一条 NAT rule, 将 80 port 导向 web proxy 8080 即可.
参考官方图文说明最快:
Proxy on RouterBoard
How to make transparent web proxy
如果你打算启用 web proxy, RB450G 可能比较适合, 毕竟它的效能比 RB750GL 好, 又可以再插 micro SD card 做为 proxy cache. (记得在 store list 将此设为 active)
这是在 RB450G 插了一张 8G microSD card 做为 web proxy 之用.
IPv4 only?
虽然 MikroTik 官网指 web proxy 支援 IPv6, 但小弟稍做测试似乎不全然如此.
启用了 Web Proxy 后, 此 web proxy 只支援 IPv4 网站, 所以如果上类似 ipv6.google.com 此种 IPv6 only 网站就会发生错误, 这是要特别注意的地方. 其他如 www.youtube.com 在 win7 下它会优先采用 IPv6, 透过 web proxy 后就只能走 IPv4 了.
作者: pctine 发布时间: 2013-02-15
PoE 的相容性
在 RouterBoard 的规格上, 有很多机型都支援 PoE, 但规格上要特别注意, 绝大多数都是不支援 802.3af 标准的, 这种所谓的 passive PoE, 它的 power 是加在其他未使用到的 Ethernet 接脚上(pin 4/5/7/8), 也并没有像 802.3af 有自动侦测机置, 所以如果你拿真正支援 802.3af PoE switch 来串 RB750GL port1, 它可是不会正常供电的.
ps:
1.RouterBoard 600 & 800 系列支援 802.3af
2.网拍有卖很便宜的 "Passive PoE injector", 这个可以参考看看.
在 RouterBoard 的规格上, 有很多机型都支援 PoE, 但规格上要特别注意, 绝大多数都是不支援 802.3af 标准的, 这种所谓的 passive PoE, 它的 power 是加在其他未使用到的 Ethernet 接脚上(pin 4/5/7/8), 也并没有像 802.3af 有自动侦测机置, 所以如果你拿真正支援 802.3af PoE switch 来串 RB750GL port1, 它可是不会正常供电的.
ps:
1.RouterBoard 600 & 800 系列支援 802.3af
2.网拍有卖很便宜的 "Passive PoE injector", 这个可以参考看看.
作者: pctine 发布时间: 2013-02-15
可以用怪招拿真正支援 802.3af PoE switch 来串 RB750GL port1, 请看:
http://www.hkepc.com/forum/redirect.php?goto=findpost&ptid=1758476&pid=26949267
http://www.hkepc.com/forum/redirect.php?goto=findpost&ptid=1758476&pid=26949267
作者: mandymak 发布时间: 2013-02-15
mandymak wrote:
可以用怪招拿真正支援 802.3af PoE switch 来串 RB750GL port1,...
这倒也不是怪招, 用 Active PoE spliter 将 DC & Ethernet Data 分离, 再将 DC 导入 RouterBoard DC port 便可以 work, 实际上也适用在很多的网路设备, 只是一个 Active PoE spliter 并不便宜, 少说也要 nt$500~$800.
作者: pctine 发布时间: 2013-02-15
很多网络设备也是不支援PoE受电, 像我家用两部Vigor 3200n, 我都是用PoE switch (Netgear GSM7212P) + PoE Splitter供电给它们. 回想当初用PoE的原因是因为家里电源插座不够用, 用上PoE才发现它的另1个好处, 就是作为远端电源管理器.
作者: mandymak 发布时间: 2013-02-15
Port mirror & packet sniffer
在 debug 时常常需要在 switch 上设定 port mirror, 将流经特定设备的封包加以截取下来观察.
在 RouterBoard 透过 interface ethernet switch 可设定 source & target port. 一般来说, 将 source port 设定为 ether?-LAN port 就可以撷取到所有进出 router 的封包了.
官方文件: switch chip features
更方便的是利用 tools / packet sniffer 来撷取封包. 撷取下来的封包可线上检视, 或是下载后以 wireshark 开启 check. 这样不需要设定 mirror port, 由远端就可以执行 packet capture 就方便很多.
官方文件: Packet Sniffer
在 debug 时常常需要在 switch 上设定 port mirror, 将流经特定设备的封包加以截取下来观察.
在 RouterBoard 透过 interface ethernet switch 可设定 source & target port. 一般来说, 将 source port 设定为 ether?-LAN port 就可以撷取到所有进出 router 的封包了.
官方文件: switch chip features
更方便的是利用 tools / packet sniffer 来撷取封包. 撷取下来的封包可线上检视, 或是下载后以 wireshark 开启 check. 这样不需要设定 mirror port, 由远端就可以执行 packet capture 就方便很多.
官方文件: Packet Sniffer
作者: pctine 发布时间: 2013-02-15
mandymak wrote:
发现它的另1个好处, 就是作为远端电源管理器....
这样说也对, router 死机无法登入时, 可以直接控制 power on/off. 毕竟 switch 死机的机率小了些.
作者: pctine 发布时间: 2013-02-15
Router 自动校时及 NTP client & server
正确的时间对 Router 来说是非常重要的, 尤其是在做 log & firewall time control 时.
在 RouterBoard 首先要设定 time zone. 於 system clock 下指定 time zone. (台湾为 GMT+8)
再来就是设定网路自动校时, 一般来说未安装 ntp package 时, 在 system > SNTP 就可以指定欲执行网路自动校时的 server IP.
但如果你已安装 ntp package, 原本的 system / SNTP 选项就不存在了, 此时多了 system ntp server & system ntp client, 多了一个将 RouterBoard 当做 NTP Server 的功能.
官方文件: System/Time
正确的时间对 Router 来说是非常重要的, 尤其是在做 log & firewall time control 时.
在 RouterBoard 首先要设定 time zone. 於 system clock 下指定 time zone. (台湾为 GMT+8)
再来就是设定网路自动校时, 一般来说未安装 ntp package 时, 在 system > SNTP 就可以指定欲执行网路自动校时的 server IP.
但如果你已安装 ntp package, 原本的 system / SNTP 选项就不存在了, 此时多了 system ntp server & system ntp client, 多了一个将 RouterBoard 当做 NTP Server 的功能.
官方文件: System/Time
作者: pctine 发布时间: 2013-02-15
相关阅读 更多
热门阅读
-
office 2019专业增强版最新2021版激活秘钥/序列号/激活码推荐 附激活工具
阅读:74
-
如何安装mysql8.0
阅读:31
-
Word快速设置标题样式步骤详解
阅读:28
-
20+道必知必会的Vue面试题(附答案解析)
阅读:37
-
HTML如何制作表单
阅读:22
-
百词斩可以改天数吗?当然可以,4个步骤轻松修改天数!
阅读:31
-
ET文件格式和XLS格式文件之间如何转化?
阅读:24
-
react和vue的区别及优缺点是什么
阅读:121
-
支付宝人脸识别如何关闭?
阅读:21
-
腾讯微云怎么修改照片或视频备份路径?
阅读:28
