基地台與分享器 - [研究所] MikroTik RouterOS 學習 (持續更新) - 電腦

前往內容


[研究所] MikroTik RouterOS 學習 (持續更新)

前幾週經由網友介紹購買了 RouterBoard RB450G, 它和小弟多年使用 Draytek Vigor DrayOS firewall 在設定上及一些觀念上差距不小, 不要說入門, 連一開始最基本的 IP 分享器初步的功能都花了不少時間才設定好, 確實 RouterOS 是一個功能非常強的系統, 對於小弟來說要完全上手可能要花不少時間, 也不可能寫出個什麼教學文件, 只是起個頭將一些遇到的問題及解決方法紀錄下來, 一方面希望更多同好加入討論, 另一方面也可給有興趣的網友一些參考.

文章的列表儘可以由淺入深, 但有些議題是臨時用到的, 會馬上加進來. 大部份的操作小弟都是透過 winbbox UI, 但也會輔以 Terminal CLI & System Scripts 交互使用, 這部份倒不用強迫自己是否一定都要去用 command line 才顯的 Pro, 能夠達成目的是最重要的.

RouterBoard or RouteOS 很難? (2013/04/27)
很多網友在看到 RouteOS 的設定或是此篇學習討論串的第一個印象, 就是 RouteOS 很複雜及難以駕馭, 說實話小弟在接觸 RouteOS 兩個月後真的覺得 RouteOS 很難, 但這是因為把它拿來做了很多進階的應用, 而這些應用是一般 IP 分享器上難以實踐的, 如果只是把 RouteBoard 當做一般的 IP 分享器來使用, 其實設定上是非常容易的, 尤其現在新的機種都加了 Wizard 快速設定進來了.

MikroTik, RouteOS & RouteBoard 起源
跟誰買? 買什麼版本?
第一次設定 RouterOS, RouterOS 快速上手
在 mac 上執行 winbox
系統設定備份及還原, 恢復出廠設定
如何 upgrade and downgrade Firmware
Bootloader 升級
什麼是套件
Web UI 中文化
指定 DNS Server
加強 RouterOS 安全防護
DDNS 的設定
Interface Bonding (Port-Trunking)
Password reset
Web proxy & Transparent web proxy
PoE 相容性
Port Mirror & Packet Sniffer
Router 自動校時及 NTP Client & Server
RouterBoard overclock
System logging
Switch Port & Multi-LAN 設定範例
USB Devices
MikroTik 硬體支援列表
抓出區網內亂配發 IP 的 Router
Bandwidth test tools
系統升級跟著我這樣做就對了
Netwatch & e-mail tool
Torch & Sniffer tools
Clone MAC address
如何尋求原廠技術支援
RouterOS v6 介紹
資源及流量圖
RB2011UAS-2HND-IN switch port 設定 - bridge or master-port
Hardware & Software watchdog
SSL 憑證有效期問題

Firewall
Port Knocking
NAT Loopback (Hair Pin NAT) 的做法
NAT & Port Forwarding
Block P2P, IM 程式
如何不讓上 facebook 網站
如何防止 User 自行指定固定 IP
自己做色情守門員
UPnP 設定說明

Internet 連網方式
How to configure a home router (必看-RouterOS最基本的操作)
DHCP Client & PPPoE 上網設定 (值得參考,包含基本的Firewall設定)
WAN多個固定IP, 並設定 address mapping
PPPoE 上網設定(中文)
PPPoE Server 實作 - 宿網管理
Multi-Session PPPoE & 指定路由的做法
VRRP 另類的應用
PPP Static Interface or Dynamic Interface
VRRP 實作
Fast Path - 加速封包處理速度

VLAN
[RouterOS]使用VLAN連接MOD (AKSN74)
[RouterOS]使用VLAN連接MOD之2 (AKSN74)

IPv6
HiNet IPv6 Dual Stack 設定方法
再談 HiNet IPv6 DualStack
HiNet IPv6 固定 IP 設定方式
IPv6 Tunnel Broker 實作
ipv6-test.com ICMP reachable 設定
解決 IPv6 Yahoo 網頁過慢問題

Wireless
Wireless station mode - 連線至 AP 共享上網設定
AP bridge mode - 建立一 AP 及設定 Multi SSID 說明
USB 3G Datacard 上網實作
Multi SSID & 訪客流量限速實作
Mikrotik SXT Lite5 無線網路橋接器

VPN & Tunnel
VPN 連線檢測方法
VPN performance Test
PPTP - Client to PPTP Server
PPTP - Draytek Vigor & RouterOS 建立 site-to-site PPTP VPN (含 RouteOS site to site VPN)
L2TP - Client to L2TP Server
L2TP/IPSEC & iPhone 實做
IPSEC - MikroTik site to site IPSEC VPN
IPSEC - MikroTik to Draytek Vigor IPSEC VPN
IPSEC - Client to Server 實作
SSTP - site to site 實作
SSTP - Remote client 實作
SSTP Client 整理
OpenVPN - site to site VPN 實作
GRE Tunnel
IPIP Tunnel
EoIP - Ethernet over IP
EoIP 應用 - 日本卡拉OK機拿回台灣用
SSH Tunneling - 另類的翻牆方式
Taiwan & China IP 列表及翻牆進中國
兩點建立VPN, 並將上網流量全數導至遠端的做法
iPhone & RouterOS L2TP/IPSEC VPN 連線設定
國家別 IPv4 Address List 產生器
MikroTik RouterOS VPN (PPTP / L2TP / OpenVPN / SSTP / SSH Tunnel / IPSec) (Mason.Lyn)

Bandwidth Management
Simple Queue
動態頻寬共享 - Simple Queue & PCQ

網路資源
**MikroTik 官網
**MikroTik Wiki (官方文件的寶庫, 算是最完整的參考資源)
MikroTik Video Resource
Linux Firewall How-to
YuSong的世界 (不少網路上找到的中文教程出自於 YuSong, 這應該是本人吧!)
電腦茶包 blog (有數篇 RouterOS 的文章都相當有參考價值)
MikroTik RouterOS Firewall Basic ip firewall 各個名詞的解說, 淺顯易懂.
囧&囧の網路筆記 (提供很多實用設定範例)
China IP 列表 (for bypass gfw)
Taiwan IP 列表 (for launch Taiwan sites)
IPv6 SLACC + Stateless DHCPv6

網友開箱文
RB450G 開箱 - kingofsdtw
RB750 開箱 - jakkson
RB493G 開箱 - jayheartnet
RB751G-2HnD 開箱 - Anruse
Rb2011UAS-2HnD-IN 開箱 - netgaze
RB951G-2HnD 開箱
CCR1016-12G開箱
RB850Gx2 開箱
[開箱]RouterOS x86 1037u軟路由

網路論壇
HKEPC RouterOS 討論1
HKEPC RouterOS 討論2
香港電訊茶室 MikroTik/RouterOS forum
Youtube 上 Mikrotik 教學影片
跟誰買? 買什麼版本?

RouterOS 不外以兩種形式銷售, 一種是自備 x86 電腦, 直接向原廠購買軟體授權安裝, 另一種為購買原廠所銷售的 RouterBoard, 對於需要較高效能的用戶, 可以自備 x86 PC, 但小弟並沒有很多用戶, 所以直接購買 RouterBoard, 已內含軟硬體授權是最方便的.

露天及 Yahoo 拍賣都有不少賣家在賣, 從 Mikrotik 官網查詢, 台灣有二家代理商, 台北那家小弟沒有連絡過(應該是新立通), 但台中的代理商買了一台 RB750GL, 由於除夕前剛買, 所以也不曉得到時候候服務如何? 日後再來補上.

另一台更早的 RB450G 是跟露天 routeros 買的, 說早其實也只比 RB750GL 早一個星期, 好處是該賣家有提供 msn 帳號, 所以有時候有些問題可以直接線上詢問. 但可能賣家機器賣的多了, 還是剛好碰到過年, 所以大致問了幾個問題, 說實話並不會讓你有貼心的感覺, 就有一搭沒一搭的, 或許再深入的問題要付費吧! 不過賣家倒是有附上大陸 "大玩家 ROS全套視頻教程, 從入門到精通" 的載點, 及一些參考資料, 所以買機器又送豐富的參考文件也算不錯啦!

所以跟誰買呢? 小弟覺得就看保固吧! 畢竟人家一台也沒有賺多少, 太深入的問題可能也不會回你, 至於服務就多靠大家互相幫助或是 Google 大神比較實在.

至於買二台只是小弟要做測試及實驗比較方便而已, 所以才買了一台 RB450G & RB750GL, 本來想說跟不同人購買可以得到二倍技術服務, 不過可能是空想. RB750GL 授權為 level 4, 可升級至 v7.x, 而 RB450G 為 Level 5, 可升級至 v7.x

有關 License Level 可以參考這裡

在該說明裡 Level4 Price US$45, Level5 Price US$95 指的就是如果自備 x86 硬體, 單獨向 MikroTik 購買軟體授權的金額. 所以 RB750GL 市價約 NT$2100, 已內含 Level4 license US$45 算起來是很值得的.

至於 RouterBoard 的效能在官網也有參考資料, 例如 RB750GL, 大家直接至官網參考即可.
第一次設定 RouterOS

請參考官方的文件
阿傑網友分享的設定方式

2012/02/20 更新:
剛買到 RB450G 時, 裡面是賣家已經設定好的, 所以到底 RouterBoard 初始的設定到底為何? 小弟也不曉得, 但今天做 system reset, 乾脃從頭自己做一次, 發覺 RouterBoard 初上手一點都不難, 基本設定其實很簡單, 因為系統都已經幫你預設好一些參數了.

以下是系統第一次設置時的預設值.


WAN: port1, 自動取得IP
LAN: port2~5, IP=192.168.88.1, DHCP server 開啟.
其他上網 NAT 也都設置好了.

這台 RouterBoard 接在中華電信的 ADSL MODEM 上, 大抵都是能直接上網的. 其他細部的設定, 例如 pppoe 可參考官方文件或是網友的分享文.

Quick Set
在某些機型的新版 firmware, 在 winbox & Webfig 網頁設定已提供 Quick Set 功能, 方便 User 快速設定 RouterBoard 功能.


****************************************************************************
以下是之前寫的.

官方文件已經寫的很清楚了, 要設定 RouterOS 方法很多, 以前已經慣用 WEB 去設定 IP 分享器了, 剛拿到 RB450G 第一個想到的就是開 browser 去設定.

在 RB450G 上面有 5 個 switch port, from Port1~Port5, 它和一般 IP 分享器不同, 並沒有限定那個 Port 是 WAN, 那個是 LAN, 完全可以根據自己的需求去組合, 剛拿到時預設 Port1為 WAN, Port2~5為 LAN.

設定的過程就跳過了, 大家可以參考官方的文件, 最快的方式為下載 winbox 程式, 執行它就可以找到 LAN區網內所有的 RouterOS 裝置了.

如果你向台中購買 RouterBoard, 它會附一個 PC 端的設定程式, 猜想它應該是使用 RouterOS API 及自行開發程式寫出來的, 目的就是讓已經慣用一般 IP 分享器的 USER 很快上手, 不過小弟在前一週已經習慣用 winbox 了, 所以就沒有去碰那個程式, 實際上應該也用不著了.

RouterOS 的設定畫面大不同
對於已經習慣一般分享器設定方式的 user 來說. 如下為 Vigor 2920n


各個功能大致上用 WAN, LAN, NAT, Firewall 的方式排列, 但 RouterOS winbox 卻是大不同.


剛使用時還真的不曉得如何下手. 例如一般大家常用的 PPPoE 上網, 以及 DHCP 配發 IP等. 就必須從
interface pppoe-client
ip address
ip dhcp-server setup
ip firewall nat
等數個功能去組合出來. 不過用一陣子後就大致了解它的設定方法了.

另外必須要提的是, RouterOS 所提供的 CLI (command-line) 它是完全和 winbox 功能相互對應的, 所以大家很常看到一些文件都只列出 command, 並不用擷圖, 因為 command line 就足以完成所有的設定了, 在學習上可以直接匯入所下的 command (script), 而透過 winbox 所做的設定也可以直接 export 成 script, 這是 RouterOS 相當方便的地方.

其他說明
winbox 是最多人使用的設定工具. 它可以搜尋 LAN 網路內所有的 RouterBoard 裝置, 如下點選箭頭處即為 scan 區網設備, 另 winbox 可以透過 Mac address or IP address 兩種方式連線 RouterBoard, 所以即使你的 PC 和 RouterBoard 在不同的 subnet, 仍然可以透過 Mac address 連線設定.(Mouse點的位置不同,連線的方式就不同)


運用 winbox 特有的 mac address 連線方式, 即使 LAN 上多台 Router 在設定時不小心造成 IP Address 衝突, 仍然可以登入 winbox 重新設定, 這是 MikroTik 特有的方式.
什麼是 Package(套件)

Package

由於小弟有申請 Hinet IPv6 Dual Stack service, 拿到 RB450G 時, 完成了初步的上網設定, 接著想到的是, 它支援 IPv6 嗎? 在 winbox 裡面翻遍了卻沒有看到任何 IPv6 的字眼, 後來才曉得原來要裝上 IPv6 package 才行.

至 Mikrotik 官網 download 區, 找到 RB450G (屬於 mipsbe base) 找到 All packages (all_packages-mips.zip) 並下載. 解壓縮找到 ipv6-5.23-mipsbe.npk.

開啟 winbox > Files, 並直接將 npk file 托拉至 winbox 中, 這樣 npk file 就上傳至 winbox 了, 記得 reboot (system reboot) 就看到多了一個 IPv6 function 了. (你也可以用 ftp 上傳)

另外 ntp server package 也是可以自行安裝的套件.

那些套件用不著?
對於用不著的套件可以從 system package 刪除或 disable. 如果你只是用到一些基本的 IP 分享器功能, 有些套件是較少用到的.
calea
gps
hotspot
ipv6 (除非你有 IPv6)
lcd (LCD panel support)
mpls
ntp (除非你要啟用 ntp server, 不然 system 模組已含 sntp client)
routing (Dynamic routing, 如 RIP, OSPF & BGP)
ups
user-manager
wireless (除非你是用無線機種)

如果你的機器內建容量不大, 那麼大可將用不著的套件刪除.

其他說明
1.starting 6.0beta3 routerboard.npk is no more. All the functionality from it is integrated into system package.


如何升級firmware

官方文件

注意:在 upgrade or downgrade firmware 時, 系統會自動重啟, 此時請勿去關閉 RouterBoard 電源, 更新約需 1~5 分鐘, 待聽到 beep 兩聲, 即可重新再連上 Router, (ps:RB750GL 沒有 speaker, 所以升級時就耐心的等一下!)

Upgrade
根據所使用的 RouterBoard 至官網 download 區, 下載最新之 All Packages 並解開. 將所需之套件全數托拉至 winbox > files, 然後進入 system > reboot 就會自動更新了. (或是利用 ftp binary mode 上傳至 Routerboard), 在更新時必須特別注意, RouterBoard 在上傳更新檔後, disk space 必須有 2MB 的 free space 供升級用, 對於記憶體容量較少機種 or 開啟 web-proxy 功能的必須注意.

v5.21 upgrade to v5.23


另外 RouterOS 支援 auto upgrade, 此部份請參考官方文件.

線上更新


Downgrade
RouterOS 也允許降版, 不過在 downgrade 後, 有可能造成原本的設定 lost, 必須重新設定(不過小弟測過設定都還在啦!). 將舊版的 All Packages 檔案全數上傳至 files, 再於 system > packages 點選 [downgrade] 即可.

v5.23 downgrade to v5.21


整理
upgrade: 新版 all packages 解開並上傳至 files, 再於 system > reboot 即可.
downgrade: 舊版 all packages 解開並上傳至 files, 再於 system > package > downgrade.
指定 DNS Server

通常在設定 IP 分享器時, 若 ISP 為 HiNet, 小弟較常將 DNS 指向 168.95.1.1 & 168.95.192.1, 但 RouterOS 內含 DNS Cache, 所以在設定 DHCP server 時, 可以直接將 DNS server 指向 RouterOS IP.

例如 RB750GL IP=192.168.22.254.


另外於 ip dns 設定 RouterOS 本身做 DNS 查詢時所引用的 DNS Server IP.


在此處可以看到第三個為 Hinet IPv6 DNS server IP. 此處必須特別提到的, 當初 IPv6 的設定是熱心網友協助幫忙設定的, 當時它有幫我在此加上 IPv6 DNS server IP, 但後來發覺此設定卻一直會跑掉. 後來發覺是 pppoe 那裡的設定所影響的.

在 pppoe 裡的設定有一 "Use Peer DNS", 若勾選該選項, 則 DNS server IP 會由 ISP 那端取得, 並自動代入到 ip dns, 每每造成自行設定的 IPv6 DNS IP 被拿掉, 此處是必須注意的地方.

另外 RouterOS DNS 也可以自行加入 static 對應. 例如將區網內的網站, 直接用內網 IP 取代掉.

ps:那個 IPv6 DNS IP 在 test-ipv6.com 測試時, 會影響到是否拿到 10/10 分.


2013/03/18補充: Dynamic Servers
當 WAN 端使用 dhcp-client 上網, 並設定 Use Peer DNS, 則 RouterOS 會將所取得的 DNS Server IP 視為 Dynamic Server, 以防止 User 自行設定的 DNS Server 被覆蓋.
加強 RouterOS 的安全防護

IP/Services

裝了 RouterBoard 後, 觀察其 log 發覺從 internet 端 ssh 進來 try 密碼的程式還不少, 後來索性把一些用不著的服務關掉了.

system 預設開放的 management port 不少, 最後只留了一個 winbox port.


另外也可以指定 service 僅允許指定的 subnet 連線.


另外在 ip / firewall / Service Ports 裡面列的是 ALG (application-level gateway) 的設定, 一般是不用去動它的.
DDNS IP 自動更新

有不少網友寬頻是使用動態 IP 的服務, 而欲從 Internet 存取家中的 Server (web or NAS...) 就必須透過 DDNS 動態 DNS 的服務.

一般 IP 分享器都會提供 DDNS 的設定, 比較常用的是 dyndns, no-ip, changeip 這類, 至於如何申請這些服務請直接 google 參考.

在 RouterOS DDNS 必須透過 script 方式為之, 這是和一般 IP 分享器比較不同的地方.

參考官方的文件做就對了.
DDNS script for NO-IP DNS
DDNS script for dynDNS
DDNS script for ChangeIP.com
pctine wrote:
加強 RouterOS 的安全防護
IP/Services
裝了 RouterBoard 後, 觀察其 log 發覺從 internet 端 ssh 進來 try 密碼的程 式還不少, 後來索性把一些用不著的服務關掉了. ...(恕刪)


歡迎 pctine兄進入ROS的世界哩!

ROS / intranet Server 的安全可以參考採用 port knocking 機制,超好用(各種網路服務完全不用擔心可全開),安全性又高(想要多複雜就能多複雜)。

實作可參考 http://wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router
Metrostar Ghia-Limited 225/45/R17   power by MMC!

1頁 (共550頁)

前往