1、如何使用winbox 登陆RouterOS
首先下载winbox 应用程序到你的windows 电脑然后,双击运行winbox 程序 使用 扫描同一局域网内的RouterOS 设备,扫描后,可以选择MAC 或者IP 登陆RouterOS,当路由器 没有配置IP 情况下,选择MAC 地址登陆,第一次登陆默认账号是admin,密码为空,账号设置好后点 按钮连接登陆RouterOS 。
2、如何添加RouterOS 的IP 地址和网关
添加 192.168.0.254/24 的IP 地址,进入/ip address 中添加IP 地址和选择网卡接口,添加内网和外网的IP 地址如图: 添加默认网关 在/ip routes 里添加默认网关10.0.0.1,开启check-gateway=ping(网关ping 监测)
3、如何设置端口映射?
这里我们需要将内网的http 服务器发布到外网,内网的http 服务器IP 地址192.168.0.88,这里需要做端口 映射规则,进入ip firewall nat 里,选择chain=dstnat,我们的外网IP 地址是10.0.0.217 配置到 dst-address,dst-port 为tcp 协议80 端口,如下图 在 action 选择dst-nat 操作,to-address 设置内网http 服务器IP 地址,和端口80
4、如何设置单机带宽控制?
进入 Queue 添加带宽控制规则,选择simple queue,添加主机IP 是192.168.0.3,并取名为IP03,设置 带宽为上行(upload)256kbps,下行(download)512kbps
5、如何配置DHCP 服务器
步骤一、进入/ip dhcp-server,点击DHCP-setup,在弹出的对放框中DHCP server interface 选择内网卡。 点击Next 将依次设置如下参数,RouterOS 会自动判断DHCP 服务信息,也可以根据你的需要手动配置。
步骤二、点击next 设置dhcp-server-space(内网的IP 地址段,仅对192.168.1.0/24 做回应),。
步骤二、点击next 设置gateway-for-DHCP-Network(分配给内网用户的网关)。
步骤三、点击next 设置Address-to-Give-Out(分配给内网可用的IP 地址范围)。
步骤四、设置DNS-server(内网DNS)。
步骤五、点击next 设置Lease-Time(内网地址的租约时间).
13。 6、如何设置ARP 绑定?
虽然主机在 IP 网络中是通过IP 地址通话,但实际上硬件地址(MAC 地址)被用于主机到其他主机的数据传输。地址解析 协议Address resolution protocol (ARP) 是提供硬件地址与IP 地址之间的解析。每个路由器都一个ARP 列表,记录ARP 信息,由IP 地址和相符合的MAC 地址构成,一般ARP 提供动态的IP 与MAC 地址对于关系,自动在ARP 列表中产生。路 由器通过ARP 列表的记录来回应各个主机的数据。我们也可通过静态的ARP 记录,要求路由器只对静态的ARP 做回应。这 样就可以避免出现如有用户擅自修改IP 地址或者通过ARP 病毒影响路由路由器工作。如通过下面的设置:
1. 在WinBox 中添加一个静态主机的ARP 记录。 或者通过命令操作:
[admin@RB450] ip arp> add address=10.10.10.10 interface=ether2 mac-address=00:21:00:56:00:12
同样的我们可以使用: 将所有的的 ARP 记录修改为静态的。
2. 设置ether2 interface 仅回应静态ARP 的请求:
命令操作如下: [admin@RB450] > interface ethernet set ether2 arp=reply-only 编写:ROSABC.COM
7、如何做端口策略路由: 我们定义访问网页的端口,访问网页的端口是TCP 80 端口,我们进入/ip firewall mangle 中做数据标记,从 标记中提取路由标记,命名为“web”,因为我们在前面的连接标记中做过了passthrough 的设置,在这里就 不用在重复设置。 然后我们进入/ip route,配置路由我们让标记好的80 端口通过pppoe-out1 出去: 在这里,如果在ip route rule 里有其他的策略规则出现,我们最好是在/ip route rule 里再次定义80 端口的规 则: 编写:ROSABC.COM 在 ip route rules 定义的web 标记在web 路由表中去查找路由。
8、网关断线处理 在多线路情况下,我们可以通过配置备份线路,避免默认网关异常断开后,其他线路进行备份,即配置默认网关 和备份网关,我们通过定义distance(路由距离)对多个网关进行备份,根据distance 来判断1 为最优先, 2 其次,依次类推。 如下图:默认网关的distance 设置为1,并设置check-gateway=ping,通过ping 监测网关状态: 备份网关的distance 设置为2,并设置check-gateway=ping,通过ping 监测网关状态:
9、如何设置simple queue 里的PCQ 限速 步骤一、266 台客户机的网吧, IP 段是 192.168.10.0/23,进入Queue Type 里配置PCQ 的参数 编写:ROSABC.COM Rate :每台主机的带宽 Limit 是每台主机数据包 Total limit :是网络总数据包 该规则仅能容纳40 个用户(total-limit/limit=2000/50=40),解决方法必须增加total-limit 或者减少limit, 但必须保证每个用户队列(limit)获取10-20 个数据包,选择dst-address 是下载分类,选择src-address 是 上传分类,然后进入simple queue 中添加规则,我们设置对内网IP 段PCQ 流控,本地网络是100 兆共享 这样一个PCQ 限速就ok 了!如果我们对服务器或者某台机器不限制的话,再单独加一个简单队游戏服务器不 限制速度,放到PCQ 规则之前.
10、PPTP 和L2TP 服务器设置
RouterOS 做VPN-Server 有三种协议实现,一是点对点的隧道协议PPTP;二是L2TP 和OVPN。此文只做 PPTP 和L2TP 的方法,这两种是最常用的,方法很简单,请看以下操作。
第一步、起用这两个协议种的一个。Winbox 路径进入ppp 的PPTP Server 和L2TP Server Enabled:启用PPTP 和L2TP 服务; Max-MTU:最大传输单元,最大为1460; Authertication:验证算法; Keepalive-timeout:路由器开始每秒发送持活时间数据包之后的时间段;
第二步、建立用户规则。路径:/ppp profile Local-address、Remote-address:分别为客户获取的网关和分配给客户的IP,可以固定IP 也可以调用/IP POOL 里的地址;然后是DNS-Server 添加DNS 服务器;
第三步、建立账号。路径:/ppp secrets Name:账号名; Password:账号密码; Service:选择账号的类型,这里选择L2tp 或PPTP,要和前面开起的协议一致; Profile:选择在profiles 里建的用户规则.
11、PPPoE Server 配置
现在我们建立一个 PPPoE-Server,首先我们进入winbox 的ppp 目录: keepalive-timeout 值通常情况下设置为10。如果你设置为0,路由器将不会断开客户端,直到他们自己注销或是路由 器重启该用户帐号才会断开。解决这个问题,one-session-per-host 属性需启用 接下来我们建立 PPPoE Server 的profile,定义客户的类型我们选用default-encryption(数据加密方式传输) .
12、如何配置Hotspot 认证 Hotspot 热点认证是基于网页方式,下面是一个网关路由器的网络参数如下: WAN 口对应外网IP 为10.200.15.119/24,网关为10.200.15.1 LAN 口对应内网IP 为192.168.10.1/24 DNS:61.139.2.69 在根据这些参数我们需要先配置好IP 地址、网关和DNS,并打开DNS 缓存等。 编写:ROSABC.COM 进入 ip address 配置IP 地址: 进入 ip route 配置网关 进入 ip firewall nat 设置好NAT 伪装: 编写:ROSABC.COM 进入 ip dns 配置DNS 缓存: 现在我们的基本参数已经配置完成,现在我们需要配置的Hotspot 参数,配置Hotspot 参数的基本流程是: 1、先进入ip hotspot user profile 设置用户分组规则 2、然后在ip hotspot user 添加用户的帐号 3、进入ip hotspot server profile 配置服务器规则 4、在ip pool 中分配IP 地址段,根据需要启用DHCP 服务 5、在ip hotspot server 添加并启用hotspot 服务 现在我们进入ip hotspot,并配置ip hotspot use profile 编写:ROSABC.COM 在 user profile 里面一般配置如下几个参数: Idle-Timeout:用户在一定时间内没有任何流量发出后自动注销连接 Keepalive-Timeout:路由器主动通过ICMP 探测主机是否在线,如果在一定时间为探测到自动注销连接(如 果用户机开启防火墙,路由器无法探测到) Shared-users:帐号的分享用户多少,默认为1,即仅一个用户使用该帐号。 Rate-Limit:分配每个帐号带宽,格式为“上行 / 下行” Transparent-proxy:透明代理功能是否开启,一般使用Hotspot 认证建议不用打开此参数。 其他参数请参考具体Hotspot 手册。 Address pool 这个是DHCP 的地址池,给用户分配IP,我们可以在ip pool 中分配地址段,具体操作请参考 RouterOS 的DHCP 操作。 在 user 配置用户登录帐号和密码,以及所属的profile 类型: 编写:ROSABC.COM 这里默认server 服务器为all, Name 用户名:cdnat Password:cdnat Profile:用户组规则,这里选择我们之前设置的default 规则 配置完用户规则后,进入ip hotspot server profile,配置服务器器规则。 在 General 选项中选择 HTML Directory 为默认的hotspot 文件路径,同时也可以选择自己定义的文件名路 径。 编写:ROSABC.COM 配置 login 登录方式,一般只启用http chap 即可,其他选项根据需要开启,至于Radius 根据需要开启。 配置完成以上参数后,最后我们启用Hotspot 服务器: 当启用完成后,所有对路由器或者外网访问都需要通过web 认证,在用户没有认证的情况下,当用户随便输入 一个网站都会跳转到认证页面。 如当输入 的网站,Hotspot 会强制用户的web 页面跳转到认证页,如图: 编写:ROSABC.COM 用户输入帐号cdnat 和密码cdnat 后,点ok 按钮即可通过认证,当认证通过后,页面自动跳转到 的网站。 这时我们可以在ip hotspot active 中看到用户登录的在线情况: 获取现时用户列表: [admin@MikroTik] ip hotspot active> print 编写:ROSABC.COM Flags: R – radius, B – blocked # USER ADDRESS UPTIME SESSION-TIMEOUT IDLE-TIMEOUT 0 cdnat 192.168.10.88 4m17s 55m43s [admin@MikroTik] ip hotspot active> 用户如果需要注销,通过输入192.168.10.1 Hotspot 认证网关,点击log off 退出登录页面
13、如何使用Log Downloader 下载并记录访问日志 首先打开Log Downloader 程序,如图所示,添加需要记录RouterOS 的日志的IP 地址,并配置相应的参数: 然后在 RotuerOS 打开,并启用日志的远程记录,在ip accounting 中设置: 编写:ROSABC.COM 注意:该软件只能通过RouterOS 的web 端口记录,即web 端口默认必须是80。
14、如何配置Web 代理 步骤一、启用web-proxy,路径:ip/web-proxy,打开web-proxy 后点web-proxy-settings,选择Enabled, 开启代理功能,图1 所示。 Port:代理端口,默认为8080; Max-Cache-Size:设最大缓存的值; Cache-On-Disk:缓存的数据保存在硬盘; 其它选项保持默认。 步骤二、在防火墙中设置将80 端口的数据重定向到8080 端口,路径:/ip firewall nat chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080。图2、图3 所示。 注意web-proxy 对CPU 要求非常高,所以当你要使用web-proxy 缓存网页时,请选择高性能的硬件
15、如何使用L7 脚本 7 层协议过滤操作是在/ip firewall 中Layer7 Protocols 中,这里我们可以手动编辑Regexp 表达式,具体操 作可以查看正则表达式,配置sniffer 抓包工具分析相关网络程序的数据规律,下面的图中看到添加一个新的 qq2009 过滤操作: 编写:ROSABC.COM 7 层协议通过Regexp 脚本编写相应应用程序的过滤代码,Regexp 可以通过网上搜索相关资料了解。在这里我 们已经提供了一些常用程序的7 层协议脚本: 通过在 的“软件下载”里下载到 MikroTik RouterOS 3.0 7 层协议过滤脚本。 然后我们可以通过FTP 上传或者直接拖放到Files 对话框中。 之后我们在命令行(Terminal)中导入7 层协议脚本: 编写:ROSABC.COM 用 import 17-protos.rsc 命令来导入脚本 当系统提示Script file loaded and executed successfully,说明脚本成功导入。 导入脚本后,我们可以在Layer7 Protocols 中看到 导入后,我们就可以在ip firewall 中通过Layer7 Protocols 参数调用,并做相应的规则处理,下面是一个在 防火墙得Filter Rules 里面调用L7 脚本 在这里我们通过禁止登陆QQ 为例,在这里我们禁止所有用户无法登陆QQ。我们进入ip firewall filter 添加一 条规则选择chain=forward,进入Advanced 中的Layer7 Protocols 选项选择qq,然后在Action 中设置为 drop 丢弃。 编写:ROSABC.COM 因为要禁止登陆QQ,所以选择action=drop 掉数据
16、如何配置PCC 的mangle 路由标记 我们可以通过选择in-interface=lan 代替源地址为内网范围(如固定IP 上网的办公室和网吧),如果内网 采用的是PPPoE 拨号上网, 我们需要通过源地址src-address 来定义内网范围, 如 src-address=192.168.100.0/24 规定需要做PCC 地址范围,下面是普通局域网上的脚本如下: /ip firewall mangle add action=mark-connection chain=prerouting comment=”" disabled=no \ in-interface=lan new-connection-mark=1st_conn passthrough=yes \ per-connection-classifier=both-addresses:2/0 add action=mark-routing chain=prerouting comment=”" connection-mark=1st_conn \ disabled=no in-interface=lan new-routing-mark=1st_route passthrough=yes 提取走第二条线路的连接标记取名位2nd_conn,并从连接里提取路由标记名位2nd_route,设置: per-connection-classifier=both-addresses:2/1,设置in-interface=lan: /ip firewall mangle add action=mark-connection chain=prerouting comment=”" disabled=no \ in-interface=lan new-connection-mark=2nd_conn passthrough=yes \ per-connection-classifier=both-addresses:2/1 add action=mark-routing chain=prerouting comment=”" connection-mark=2nd_conn \ disabled=no in-interface=lan new-routing-mark=2nd_route passthrough=yes 在winbox 在mangle 中设置完成后如下: 编写:ROSABC.COM 以上配置完成后,我们可以在ip route 配置路由规则
(责任编辑:admin) |