This articles is published 964 days ago and last updated 964 days ago, some information may be out of date.

MikroTik RouterOS 7 初始上網設定

Cover.jpg

前言:

MikroTik RouterOS基本可以實現所有的路由(高級)功能，如防火牆，VPN，動態路由(OSPF/RIP)等等，但硬件的價格可能是Cisco流的1/10或更少，以高性價比搶占了市場，因價錢適宜無論是家用還是商用都是一個好選擇。
*RouterOS 7新增了wireguard VPN功能，讓人升級的欲望大大提升。
*所有操作是在PNET模擬軟件實現及測試。

目錄內容:

透過官方軟件Winbox設定上網
透過SSH(console)的命令行方式設定上網

操作步驟:

透過官方軟件Winbox設定上網

官方軟件(WinBox)：下載網址 https://download.mikrotik.com/winbox/3.35/winbox64.exe

2022-03-29_104246.png

在Winbox的Neighbors內可找到RouterOS的IP Address 或 MAC Address方式登入

Login: admin
Password: 無

2022-03-31_090357.png

首次登入要求設定使用者密碼

設定路由器名稱

2022-03-31_090455.png

方便識別，到System > Identity 重命名路由器名稱

設定本地時區

2022-03-31_090528.png

設定本地時區，到System > Clock > Time Zone Name: Asia/Hong_Kong

2022-03-31_090556.png

設定網絡界面(interfaces)

基於靈活性，和好多商用路由器一樣，需要手動設定WAN/LAN

到Interfaces 見到4個網口，分別是ether1，ether2，ether3，ether4

其中ether1的Tx，Rx有data流動，即代表這網口是連接住其他網絡裝置

2022-03-31_090603.png

2022-03-31_090617.png

在這裡ether1是連接位modem，所以重命名為WAN

2022-03-31_090624.png

ether2，ether3，ether4可橋接為同一組變為LAN

2022-03-31_090646.png

2022-03-31_090650.png

到Bridge > Bridge > 按+新增橋接網口 (名稱為bridge1)

2022-03-31_090654.png

2022-03-31_090705.png

到Bridge > Ports > 按+ ，將ether2，ether3，ether4綁定到橋接網口 (bridge1)

2022-03-31_090737.png

綁定後是這樣

2022-03-31_090752.png

為剛剛創建的網口手動分配IP Address，到IP > Address > 按+新增

因為在HK家用寛頻通常是DHCP分配Public IP (WAN經modem已預分配了IP地址)，所以只需要設定LAN (bridge1) 的IP Address就可以

2022-03-31_090816.png

2022-03-31_090823.png

在這次範例中，LAN (bridge1) 的IP Address: 11.1.1.1，網段: 255.255.255.0 (/24)

設定`DHCP` 伺服器

2022-03-31_090932.png

首先到IP > Pool > 按+新增一個DHCP 伺服器的地址池及設定分配的範圍 (名稱為dhcp_pool1)

2022-03-31_091216.png

到IP > DHCP Server > DHCP > 按+新增 DHCP 伺服器

Interface: 指定到橋接網口 (bridge1)
Address Pool: 是DHCP 伺服器的地址池 (dhcp_pool1)
其他按需設定

2022-03-31_091312.png

到IP > DHCP Server > Networks > 按+新增 DHCP 伺服器的網絡

設定`DNS`

2022-03-31_091345.png

到IP > DNS

Servers: 是自定的DNS伺服器IP地址，也可一併加入ISP的DNS IP Address
選取 Allow Remote Requests

設定`NAT`

2022-03-31_091455.png

到IP > Firewall > NAT > 按+新增 NAT(即masquerade)

其中Chain: srcnat 和 Action: masquerade

網上講法是流量偽裝，偽裝是允許你將多個 IP 位址轉換為另一個 IP 地址。即NAT偽裝功能是將內網上多個 IP 位址隱藏在Public IP 位址後面。每次對外連線時會將內網地址轉換到的Public IP 地址進行溝通。
用人話是: 內網的所有裝置(電話, 手提電腦，平板，機頂盒等等) 透過這功能可以連接外網。

Router連線測試

2022-03-31_091557.png

2022-03-31_091751.png

客戶端裝置連線測試

停用服務端口

2022-03-31_091929.png

基於安全考量，最好關閉不必要的服務端口。

到IP > Sevices > 按X 停用，只保留winbox端口開啟。

透過SSH的命令行方式設定上網

可以透過Console 或者SSH方便連接到路由器做設定。

2022-03-31_083510.png

首次登入要求設定使用者密碼

new password> *****
repeat new password> *****

重命名路由器名稱

system/identity/set name=R1

設定本地時區， Asia/Hong_Kong

system/clock/set time-zone-name=Asia/Hong_Kong

查看網絡界面(interfaces)

interface/print

Flags: R - RUNNING
Columns: NAME, TYPE, ACTUAL-MTU, MAC-ADDRESS
# NAME TYPE ACTUAL-MTU MAC-ADDRESS
0 R ether1 ether 1500 50:5D:4F:00:0D:00
1 R ether2 ether 1500 50:5D:4F:00:0D:01
2 R ether3 ether 1500 50:5D:4F:00:0D:02
3 R ether4 ether 1500 50:5D:4F:00:0D:03

分別是ether1，ether2，ether3，ether4

在這裡ether1是連接位modem的網口，所以重命名為WAN

interface/ethernet/set ether1 name=WAN

新增橋接網口 (名稱為bridge1)，為路由器的LAN

 interface/bridge/add name=bridge1

將ether2，ether3，ether4綁定到橋接網口 (bridge1)內

interface/bridge/port add bridge=bridge1 interface=ether2
interface/bridge/port add bridge=bridge1 interface=ether3
interface/bridge/port add bridge=bridge1 interface=ether4

為剛剛創建的網口手動分配IP Address

因為在HK家用寛頻通常是DHCP分配Public IP，所以網口(WAN) 設定為DHCP 客戶端。

ip dhcp-client/add interface=WAN

設定LAN (bridge1) 的IP Address

ip address/add address=11.1.1.1/24 interface=bridge1 network=11.1.1.0

在這次範例中，LAN (bridge1) 的IP Address是11.1.1.1，網段時255.255.255.0 (/24)

設定DHCP 伺服器

新增一個DHCP 伺服器的地址池及設定分配的範圍 (名稱為dhcp_pool1)

ip pool/add name=dhcp_pool1 ranges=11.1.1.50-11.1.1.99

新增 DHCP 伺服器

ip dhcp-server/add address-pool=dhcp_pool1 interface=bridge1 name=dhcp1

Interface: 指定到橋接網口 (bridge1)
Address Pool: 是DHCP 伺服器的地址池 (dhcp_pool1)
其他按需設定

新增 DHCP 伺服器網絡

ip dhcp-server/network/add address=11.1.1.0/24 gateway=11.1.1.1

設定DNS

ip dns/set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8

啟用 Allow Remote Requests
Servers: 是自定的DNS伺服器IP地址，也可一併加入ISP的DNS IP Address

設定NAT

新增 NAT的masquerade，以啟用NAT的流量偽裝功能

ip firewall/nat/add action=masquerade chain=srcnat

基於安全考量，最好關閉不必要的服務端口，開需要時才開啟。

ip service/disable api,api-ssl,telnet,www,www-ssl

RouterOS連線測試

ping count=4 1.1.1.1

SEQ HOST SIZE TTL TIME STATUS

0 1.1.1.1                                    56  57 2ms704us
1 1.1.1.1                                    56  57 3ms38us
2 1.1.1.1                                    56  57 3ms6us
3 1.1.1.1                                    56  57 2ms785us
sent=4 received=4 packet-loss=0% min-rtt=2ms704us avg-rtt=2ms883us max-rtt=3ms38us

ping count=4 google.com

SEQ HOST SIZE TTL TIME STATUS

0 142.250.204.110                            56 118 2ms268us
1 142.250.204.110                            56 118 2ms217us
2 142.250.204.110                            56 118 2ms378us
3 142.250.204.110                            56 118 2ms303us
sent=4 received=4 packet-loss=0% min-rtt=2ms217us avg-rtt=2ms291us max-rtt=2ms378us

這是所有的設定輸出

2022-03-31_085548.png

檢查系統更新

system/package/update/check-for-updates

channel: stable
installed-version: 7.1.1
latest-version: 7.1.5
status: New version is available

升級新版系統

system/package/update/install

status: Downloaded 99% (16.8MiB)

重新開機後，已經是最新的版本。

2022-03-31_085912.png

結語:

以上2種上網設定方式都有其優缺點，按使用場景自行選取。
RouterOS和好多商用路由器一樣，基於靈活性，所有設定都需要手動設定一次，但也只是一次的設定成本。

Navigation

MikroTik RouterOS 7 初始上網設定

MikroTik RouterOS 7 初始上網設定

設定路由器名稱

設定本地時區

設定網絡界面(interfaces)

設定`DHCP` 伺服器

設定`DNS`

設定`NAT`

Router連線測試

停用服務端口

There're 1 comments

Login

Navigation

MikroTik RouterOS 7 初始上網設定

設定路由器名稱

設定本地時區

設定網絡界面(interfaces)

設定DHCP 伺服器

設定DNS

設定NAT

Router連線測試

停用服務端口

There're 1 comments

設定`DHCP` 伺服器

設定`DNS`

設定`NAT`