Login

Navigation

This articles is published 177 days ago and last updated 176 days ago, some information may be out of date.

MikroTik RouterOS 7 初始上網設定

Cover.jpg

前言:
MikroTik RouterOS基本可以實現所有的路由(高級)功能,如防火牆,VPN,動態路由(OSPF/RIP)等等,但硬件的價格可能是Cisco流的1/10或更少,以高性價比搶占了市場,因價錢適宜無論是家用還是商用都是一個好選擇。

*RouterOS 7新增了wireguard VPN功能,讓人升級的欲望大大提升。

*所有操作是在PNET模擬軟件實現及測試。

目錄內容:
操作步驟:

透過官方軟件Winbox設定上網

官方軟件(WinBox):下載網址 https://download.mikrotik.com/winbox/3.35/winbox64.exe

2022-03-29_104246.png

WinboxNeighbors內可找到RouterOSIP AddressMAC Address方式登入

Login: admin

Password:

2022-03-31_090357.png

首次登入要求設定使用者密碼

設定路由器名稱

2022-03-31_090455.png

方便識別,到System > Identity 重命名路由器名稱

設定本地時區

2022-03-31_090528.png

設定本地時區,到System > Clock > Time Zone Name: Asia/Hong_Kong

2022-03-31_090556.png

設定網絡界面(interfaces)

基於靈活性,和好多商用路由器一樣,需要手動設定WAN/LAN

Interfaces 見到4個網口,分別是ether1ether2ether3ether4

其中ether1TxRx有data流動,即代表這網口是連接住其他網絡裝置

2022-03-31_090603.png

2022-03-31_090617.png

在這裡ether1是連接位modem,所以重命名為WAN

2022-03-31_090624.png

ether2ether3ether4可橋接為同一組變為LAN

2022-03-31_090646.png

2022-03-31_090650.png

Bridge > Bridge > 按+新增橋接網口 (名稱為bridge1)

2022-03-31_090654.png

2022-03-31_090705.png

Bridge > Ports > 按+ ,將ether2ether3ether4綁定到橋接網口 (bridge1)

2022-03-31_090737.png

綁定後是這樣

2022-03-31_090752.png

為剛剛創建的網口手動分配IP Address,到IP > Address > 按+新增

因為在HK家用寛頻通常是DHCP分配Public IP (WAN經modem已預分配了IP地址),所以只需要設定LAN (bridge1) 的IP Address就可以

2022-03-31_090816.png

2022-03-31_090823.png

在這次範例中,LAN (bridge1) 的IP Address: 11.1.1.1,網段: 255.255.255.0 (/24)

設定DHCP 伺服器

2022-03-31_090932.png

首先到IP > Pool > 按+新增一個DHCP 伺服器的地址池及設定分配的範圍 (名稱為dhcp_pool1)

2022-03-31_091216.png

IP > DHCP Server > DHCP > 按+新增 DHCP 伺服器

Interface: 指定到橋接網口 (bridge1)

Address Pool: 是DHCP 伺服器的地址池 (dhcp_pool1)

其他按需設定

2022-03-31_091312.png

IP > DHCP Server > Networks > 按+新增 DHCP 伺服器的網絡

設定DNS

2022-03-31_091345.png

IP > DNS

Servers: 是自定的DNS伺服器IP地址,也可一併加入ISP的DNS IP Address

選取 Allow Remote Requests

設定NAT

2022-03-31_091455.png

IP > Firewall > NAT > 按+新增 NAT(即masquerade)

其中Chain: srcnatAction: masquerade

網上講法是流量偽裝,偽裝是允許你將多個 IP 位址轉換為另一個 IP 地址。即NAT偽裝功能是將內網上多個 IP 位址隱藏在Public IP 位址後面。每次對外連線時會將內網地址轉換到的Public IP 地址進行溝通。

用人話是: 內網的所有裝置(電話, 手提電腦,平板,機頂盒等等) 透過這功能可以連接外網。

Router連線測試

2022-03-31_091557.png

2022-03-31_091751.png

客戶端裝置連線測試

停用服務端口

2022-03-31_091929.png

基於安全考量,最好關閉不必要的服務端口。

IP > Sevices > 按X 停用,只保留winbox端口開啟。


透過SSH的命令行方式設定上網
可以透過Console 或者SSH方便連接到路由器做設定。

2022-03-31_083510.png

首次登入要求設定使用者密碼

new password> *****
repeat new password> *****

重命名路由器名稱

system/identity/set name=R1

設定本地時區, Asia/Hong_Kong

system/clock/set time-zone-name=Asia/Hong_Kong

查看網絡界面(interfaces)

interface/print
Flags: R - RUNNING
Columns: NAME, TYPE, ACTUAL-MTU, MAC-ADDRESS
# NAME TYPE ACTUAL-MTU MAC-ADDRESS
0 R ether1 ether 1500 50:5D:4F:00:0D:00
1 R ether2 ether 1500 50:5D:4F:00:0D:01
2 R ether3 ether 1500 50:5D:4F:00:0D:02
3 R ether4 ether 1500 50:5D:4F:00:0D:03

分別是ether1ether2ether3ether4

在這裡ether1是連接位modem的網口,所以重命名為WAN

interface/ethernet/set ether1 name=WAN

新增橋接網口 (名稱為bridge1),為路由器的LAN

 interface/bridge/add name=bridge1

ether2ether3ether4綁定到橋接網口 (bridge1)內

interface/bridge/port add bridge=bridge1 interface=ether2
interface/bridge/port add bridge=bridge1 interface=ether3
interface/bridge/port add bridge=bridge1 interface=ether4 

為剛剛創建的網口手動分配IP Address

因為在HK家用寛頻通常是DHCP分配Public IP,所以網口(WAN) 設定為DHCP 客戶端。

ip dhcp-client/add interface=WAN

設定LAN (bridge1) 的IP Address

ip address/add address=11.1.1.1/24 interface=bridge1 network=11.1.1.0
在這次範例中,LAN (bridge1) 的IP Address是11.1.1.1,網段時255.255.255.0 (/24)

設定DHCP 伺服器

新增一個DHCP 伺服器的地址池及設定分配的範圍 (名稱為dhcp_pool1)

ip pool/add name=dhcp_pool1 ranges=11.1.1.50-11.1.1.99

新增 DHCP 伺服器

ip dhcp-server/add address-pool=dhcp_pool1 interface=bridge1 name=dhcp1
Interface: 指定到橋接網口 (bridge1)

Address Pool: 是DHCP 伺服器的地址池 (dhcp_pool1)

其他按需設定

新增 DHCP 伺服器網絡

ip dhcp-server/network/add address=11.1.1.0/24 gateway=11.1.1.1

設定DNS

ip dns/set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
啟用 Allow Remote Requests

Servers: 是自定的DNS伺服器IP地址,也可一併加入ISP的DNS IP Address

設定NAT

新增 NATmasquerade,以啟用NAT的流量偽裝功能

ip firewall/nat/add action=masquerade chain=srcnat

基於安全考量,最好關閉不必要的服務端口,開需要時才開啟。

ip service/disable api,api-ssl,telnet,www,www-ssl

RouterOS連線測試

ping count=4 1.1.1.1

SEQ HOST SIZE TTL TIME STATUS

0 1.1.1.1                                    56  57 2ms704us
1 1.1.1.1                                    56  57 3ms38us
2 1.1.1.1                                    56  57 3ms6us
3 1.1.1.1                                    56  57 2ms785us
sent=4 received=4 packet-loss=0% min-rtt=2ms704us avg-rtt=2ms883us max-rtt=3ms38us
ping count=4 google.com

SEQ HOST SIZE TTL TIME STATUS

0 142.250.204.110                            56 118 2ms268us
1 142.250.204.110                            56 118 2ms217us
2 142.250.204.110                            56 118 2ms378us
3 142.250.204.110                            56 118 2ms303us
sent=4 received=4 packet-loss=0% min-rtt=2ms217us avg-rtt=2ms291us max-rtt=2ms378us

這是所有的設定輸出

2022-03-31_085548.png

檢查系統更新

system/package/update/check-for-updates
channel: stable
installed-version: 7.1.1
latest-version: 7.1.5
status: New version is available

升級新版系統

system/package/update/install
status: Downloaded 99% (16.8MiB)

重新開機後,已經是最新的版本。

2022-03-31_085912.png

結語:
以上2種上網設定方式都有其優缺點,按使用場景自行選取。

RouterOS和好多商用路由器一樣,基於靈活性,所有設定都需要手動設定一次,但也只是一次的設定成本。