RouterOS上网设置

RouterOS上网设置

未分类zhagang发表留言

1. 首先使用 System => Reset Configuration 清除所有的设置,如果希望保留用户名密码信息清除时可选择Keep users选项。

2. 进入Bridge页面,创建一个Bridge并将所有的内网端口连接到Bridge上。Bridge在功能上相当与一个交换机,连接在同一个Bridge上的端口之间可以不经过路由直接通信。这些端口一起组成路由器的内部网络。

2.1 创建Bridge:在Bridge标签页添加一个Bridge,填写一个Bridge的名称,其他保持默认。

2.2 在Ports标签页面将需要添加的网口添加到桥上,Interface依次选择需要添加的网口,Bridge选择刚刚创建的Bridge名称

如下图示例所示,将网络端口2~5以及spf1光口连接到Bridge做为内网。

3. 为内网设定IP地址,并启用DHCP服务器。
内部网络要与外部进行通信,都需要通过Bridge,Bridge做为内网的网关,所有出口的流量都要通过Bridge进行转发。同时Bridge提供DHCP服务,为内部网络设备分配内网的IP地址。

3.1 设置内网IP地址。进入 IP => Addresses 页面,添加一个条目。在Address位置填写Bridge的IP地址及掩码位数(/24表示子网掩码为255.255.255.0),在Interface位置选择之前创建的Bridge名称。

3.2 设置内网的DHCP服务。进入 IP => DHCP Server 页面,在DHCP标签页选择DHCP Setup按钮可以非常方便地设置DHCP服务。首先在DHCP Server Interface位置选择之前创建的Bridge,表示为此网桥创建DHCP服务。完成后点击Next。

接下来设置DHCP网域的地址空间,这里需要与上面设置的网桥IP地址为同一地址空间,此例中为192.168.0.0/24。完成后点击Next。

设置DHCP网络的网关地址,一般情况下为上面设置的网桥IP地址,此例中为192.168.0.1。

下一步DHCP Relay看不填,再下一步设置DHCP地址池的范围,可根据需要设置。

下一步选择使能”Add DNS”,再下一步设置DNS的地址。此处为DHCP服务器为其客户端指定的DNS服务器,一般填写网桥的IP地址,将DNS请求交给网桥处理。

下一步设置租约时间,缺省为30分钟,点击Next后完成DHCP服务器设置。此时新连接到网桥的设备应该可以正常获取到局域网IP地址。

4. 设置PPPoE拨号上网。
打开Interfaces页面,在Interface标签点击”+”号右边的下箭头,在弹出菜单中选择 PPPoE Client。在弹出窗口中General标签页设置自定义的名称,Interfaces处选择ether1做为拨号端口。然后在Dial Out标签页设置拨号上网的用户名和密码。点击OK完成。如果正常拨号成功,可在 IP => Addresses 页面看到获得的外网IP。

到此为止,内部和外部网络都已经设置好了,但是内外网之间还未联通,需要设置一条NAT的规则来实现内外网之间的IP伪装与恢复,以实现内部网络访问互联网。

5. NAT转发设置
NAT转发设置位于 IP => Firewall 页面,在NAT标签页下面点击”+”号增加一条转发规则。在弹出窗口中的General页面设置Chain为srcnat,然后去到Action页面设置Action为masquerade。这条NAT规则为所有访问互联网的数据使用路由器外部端口的IP进行伪装,这样返回的数据能够正确地回传到路由器。

至此为止,内网的设备应该已经可以正常访问互联网了

6. 端口映射
当需要从外部访问局域网内部的服务时(例如从外网访问内部的NAS),需要对相应的端口在路由器上进行映射。RouterOS的端口映射也是通过相应的NAT设置实现的。例如需要将内部服务器的5001端口映射到外网可以进行如下的设置。

打开 IP => Firewall 页面,在NAT标签下面添加一条NAT规则。在弹出窗口的General标签页下设置Chain为dstnat,表示对目标位置进行NAT处理,Protocol项填写6表示TCP协议,目标端口填写5001,In. Interface选择pppoe的拨号设备,表示从外网访问路由器5001端口的数据。在Action页面的Action项选择dst-nat,To Addresses填写内网服务器的IP地址,To Ports填写内网服务端口号。

添加这条NAT规则后就可以从外网访问相应的服务了。但是如果从内网通过公网IP或者域名访问时会无法访问,这是因为从内网通过公网IP或者域名访问时,请求的来源来自于内网网桥而不是外网的拨号设备,因此请求并不会被NAT规则处理。要使内网也能够通过外网IP或域名访问此服务,需要增加一条类似的NAT规则。此规则与上面的唯一不同之处是General页面的In. Interface变为网桥设备bridge,表示请求来自于内部网络。添加此规则之后内部也可以通过外网IP或者域名进行访问了。

7. 安全设置
为了防御外来的潜在威胁,可配置防火墙对非法的流量进行拦截。同时应在 IP => Setvices 页面关闭所有未用到的服务。

留下回复

著作权 © 2025 EnChip Microelectronics - 由 CosmosWP 提供支持