MikroTik RouterOS 路由器

記錄該路由器的設計及操作

MikroTik RB4011iGS+ 入門設定

由於 BUBU 家中網速從 100M 升速到 300M 由於 FortiGate 60D 無支援 300M 的PPPOE 模式,因此更換這台設備使用,設定還滿簡單的,網路上也有許多文章可以參考, BUBU 是在露天上的  MikroTik專業賣家 此賣家買的,服務不錯會教怎麼設定,收到設備時賣家是有將設備改中文並且有範例可以參考及使用方式。

首先使用網頁方式登入是精靈設定的畫面

輸入 PPPoe USER 指中華電信的帳號及密碼

MikroTik-1.png

IP Address 是指以後要連到此設備的 IP 可以用預設的也可以自己定義

DHCP Server 要打勾

DHCP SERVER Range 是指 DHCP 分配的 IP 範圍

NAT 要打勾

MikroTik-2.png

這樣子就設定完成了,接下來只要按設完成就可以對外連網了可以開始享受 300M 網速的感覺的

 

 

 

RouterOS 架設的服務對外公開

選項 IP -> Firewall -> NAT

Chain:dstnat
Protocol:tcp
Dst.Port:輸外對外開放的Port號

RouterOS-1.png

選擇 Extra 
Dst. Address Type -> Address Type:選擇 local

RouterOS-2.png

選擇 Action
Action:選擇 dst-nat 

RouterOS-3.png

To Addresses:輸入對外開放服務的內網設備 IP
To Ports:輸入對外開放的 Port 

 RouterOS-4.png

RouterOS Port 轉送

選項 IP -> Firewall -> Filter Rules

Chain:選擇 forward
Protocol:選擇 tcp

Dst. Port:輸所要轉送的 Port
In. Interface:選擇 pppoe-out1

RouterOS-5.png

選項 Action

Action:選擇 accept

RouterOS-7.png

RouterOS IPv6 設定

因為現在有些比較大型的網頁都已經開始有支援到 IPv6 服務,使用 IPv6 服務可以讓連到該網頁會比較 IPv4 還要快一些。因之前有跟中華電信申請 IPv6 的服務,一直都設定不起來,現在想到又想要把設起,也看了不少文章這一次終於成功了,因此趁現在記錄起來。

先將檢查 RouterOS IPv6 套件是否有安裝,如果有預設是沒有啟動,所以要手動先啟用 IPv6 服務

再來就會看到選項裡面多出 IPv6 選項,選擇 DHCP Client 

ros-1.png

新增加一個設定檔

Interface:選擇 pppoe-out1 由於我是使用中華電信的 pppoe 的服務

Request:要勾選 prefix

Pool Name:這個可以自行命名,等一下會用到

填入完之後按下 ok 就可以了

ros-2.png

選擇 IPv6 裡的 Addresses

ros-8.png

新增加一個設定

Address:填入 ::1/64

From Pool:選擇剛剛您所命名的名稱

Interface:這個選擇內網的 Bridge 或者 那一個 LAN Prot ,這個要選擇不然會失敗

選擇完之後按 OK ,然後你會在剛剛新增的設定檔會看到 ::1/64 會變成 IPv6 的樣子

ros-3.png

在 DHCPv6 Client 的 Ststus 下可以看到目前跟 Hinet 取的 IPv6 的位置

ros-4.png

IPv6 選擇 ND 

ros-5.png

新增加一個 ND

Interface:這個要選擇是要給誰用例如 LAN1 之類的

選擇完之後按下 OK

ros-6.png

設定 DNS 一組中華電信的 DNS 、一組 Google 的 DNS 

ros-7.png

以上設定完之後,可以去看網路卡上面的設定是否有正確取的 IPv6 的 IP

設定一下 IPv6 防火牆的設定

說明設定的內容:

一步一步逐條解說

  1. 對於輸入ROS不合法的連線會直接DROP
  2. 輸入下面CLIENT不合法的連線會直接DROP
  3. 允許對ROS合理流量的PING6(注意,V6是走ICMP V6)
  4. 允許對CLIENT合理流量的PING6
  5. DHCPv6 Client連線用的port,這是很重要的,必須要讓外面的DHCPv6Server能夠與你的ROS溝通,注意是走UDP 546 PORT
  6. 允許CLIENT建立的連線
  7. 允許CLIENT相關的連線
  8. 允許ROS本身對外的連線
  9. 除此之外對ROS的連線全部DROP
  10. 除此之外對CLIENT的連線全部DROP<這一條小弟在做 IPv6 網路測試會失敗,所這一條最好是停用別啟用。>

 

最後一條有mangle的部分是因為PPPOE撥號出去的封包大小可能加上PPP HEADER會超過1500BYTE,因此必須要處理縮小,這邊就由系統自行判斷縮小的程度(clamp-to-pmtu)

/ipv6 firewall filter
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add chain=input comment="Allow limited pings" limit=50/5s,2 protocol=icmpv6
add chain=forward comment="Allow limited pings" limit=50/5s,2 protocol=icmpv6
add chain=input comment="DHCPv6 client" dst-port=546 protocol=udp
add chain=forward comment=Established connection-state=established
add chain=forward comment=Related connection-state=related
add chain=output comment="Accept output"
add action=drop chain=input comment="Drop the rest"
add action=drop chain=forward comment="Drop the rest"

/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=no protocol=tcp tcp-flags=syn

 

參考相關網: