Comando para instalar enrutamiento suave
Descripción del comando:
La configuración básica de RouterOS incluye cuatro partes: interfaz, dirección IP, ruta IP y firewall IP src-nat.
El comando 1.interface se usa principalmente para modificar el nombre de la interfaz y activar la interfaz.
El comando 2.ip address se usa principalmente para agregar la dirección IP externa y la externa; Dirección IP a las dos interfaces correspondientes respectivamente. Dirección IP de LAN;
3. El comando ip route es principalmente para agregar una tabla de enrutamiento. Solo hay tres entradas en la tabla de enrutamiento de red simple, una se agrega manualmente. y dos son elementos de enrutamiento dinámico;
El comando 4.ip firewall src-nat se utiliza para configurar la traducción de direcciones de red. La mascarada aquí es una forma especial de traducción de direcciones de red (NAT). LAN generalmente usa una IP externa para acceder a Internet. Todos usan enmascaramiento).
Si solo lo estás usando como un enrutador simple, ¡simplemente modifica la IP en la parte verde de arriba de acuerdo con la red real!
He reinstalado y probado este proceso muchas veces, y todo es normal. Si aún no puedes permitir que la LAN acceda a la red externa después de seguir este comando, lo más probable es que tu red interna y. Los cables de red externos se conectan al revés. Si ha instalado la tarjeta de red, no olvide configurar las propiedades TCP/IP del cliente.
Tutorial claro de configuración de RouterOS (configuración oficial) RouterOS V2.8
Tutorial claro de configuración de RouterOS
Cómo configurar RouterOS Versión del documento: 1.5 Aplicado a: MikroTik RouterOS V2.8
Cómo proteger tu MikroTik RouterOS
Descripción de la propiedad
¿Para proteger tu MikroTik RouterOS?, no solo debes modificar tu administrador La contraseña También es necesario configurarlo para filtrar los paquetes de datos, por lo que los paquetes de datos destinados al enrutador deben ser procesados por la lista vinculada de entrada del firewall IP al mismo tiempo. Tenga en cuenta que la lista enlazada de entrada no transmitirá datos a través del enrutador.
Puede agregar las siguientes reglas a la entrada de la regla de firewall /ip. Simplemente use 'copiar y pegar' en la Consola del enrutador o configúrelo en los parámetros de winbox):
comentario="Eliminar conexiones no válidas"
/entrada de regla de firewall ip agregar estado de conexión=establecido \
comentario="Permitir conexiones establecidas"
/entrada de regla de firewall ip agregar estado de conexión=relacionado \
comentario ="Permitir conexiones relacionadas"
/ip entrada de regla de firewall agregar protocolo=udp comentario="Permitir UDP"
/ip entrada de regla de firewall agregar protocolo=icmp comentario="Permitir ping ICMP "
/ip entrada de regla de firewall agregar src-address=10.0.0.0/24 \
comment="Permitir el acceso desde nuestra red local. ¡Edite esto!"
/ip entrada de regla de firewall agregar src- dirección=192.168.0.0/24 protocolo=tcp dst-port=8080 \
comment="Este es el servicio de proxy web para nuestros clientes. ¡Edítelo!"
/regla de firewall ip input add action=drop log=yes \
comment="Registrar y descartar todo lo demás"
Usar la regla de firewall /ip ingresar imprimir paquetes El comando puede ver cuántos paquetes de datos se han Procesado por las reglas internas. Utilice el comando reset-counters para restablecer las estadísticas. Verifique el archivo de registro del sistema a través de /log print para ver información sobre los paquetes que se descartan.
Es posible que necesites agregar permiso para permitir el acceso desde el host de confirmación. Por ejemplo: recuerde que las reglas de firewall que aparecen en la lista se procesan en el comando. Los paquetes que coincidan con una regla no serán procesados por otras reglas posteriores. Después de agregar una nueva regla, si desea que se procese primero, use el comando mover para moverla por encima de todas las reglas.
Para proteger su MikroTik RouterOS? de ser utilizado como retransmisor de spam, debe:
Asegúrese de que su enrutador esté utilizando reglas de firewall. Consulte la sección Cómo hacerlo.
Configurar la lista de acceso al proxy web
La lista de acceso al proxy web se configura en /ip web-proxy access. Por ejemplo, agregue la siguiente regla para permitir el acceso desde el host confirmado. Simplemente vaya a la Consola Terminal del enrutador mediante 'copiar y pegar' o
Configurar los parámetros relevantes en winbox):
/ip web-proxy access add src -address=192.168.0.0/ 24 \
comment="Nuestros clientes"
/ip acceso al proxy web agregar dst-port=23-25 action=deny \
comentario ="Negar utilizarnos como retransmisión telnet y SMTP"
/ip web-proxy access add action=deny \
comment="Denegar todo lo demás"
Tenga en cuenta que debe permitir el servicio confirmado primero según la regla y, por lo general, denegar cualquier acceso al final de la regla.
¿Cómo conectar su red doméstica a xDSL?
Descripción de la propiedad
Asegúrese de que el módem DSL de su hogar esté instalado y desee conectarlo de forma segura a Para conectar su red doméstica a Internet, primero necesita instalar un enrutador MikroTik entre el módem DSL y su red doméstica:
Siguiente paso para conectar su red doméstica a xDSL:
Primero El enrutador MikroTik tiene dos tarjetas Ethernet, una para el módem DSL de su hogar y otra para su red doméstica.
Al realizar la instalación, asegúrese de haber instalado el paquete de funciones del software dhcp.
Habilite dos tarjetas de red, de la siguiente manera:
/interface enable ether1, ether2
Configure el cliente DHCP en la interfaz externa (xDSL) para recibir la configuración IP entrante Servicio:
/ip dhcp-client set enable=yes interface=ether1
Compruebe, si utiliza la impresión de arrendamiento después de recibir la información de configuración de IP, de la siguiente manera:
[admin@MikroTik] ip dhcp-clientgt; arrendamiento imprimir
dirección: 81.198.16.4/21
vence: 10/mayo/2001 04:41:49
puerta de enlace: 81.198.16.1
dns-primario: 195.13.160.52
dns-secundario: 195.122.1.59
[admin@MikroTik] ip dhcp-clientgt;
Agregue su dirección de red privada a la tarjeta de red ether2, de la siguiente manera:
/ip dirección agregar dirección=192.168.0.1/24 interfaz=ether2
Configura el enmascaramiento en tu red local:
/ip firewall src-nat add out-interface=ether1 action=masquerade \ comment="Enmascara todo lo que sale de la interfaz externa"
Configure el firewall para proteger su enrutador:
/ip firewall rule input add connection-state=invalid action=drop \
comment="Eliminar paquetes de conexión no válidos"
/entrada de regla de firewall ip agregar estado de conexión=establecido \
comentario="Permitir conexiones establecidas"
/entrada de regla de firewall ip agregar estado de conexión=relacionado \
comentario="Permitir conexiones relacionadas"
/entrada de regla de firewall ip agregar protocolo=udp comentario="Permitir UDP"
/entrada de regla de firewall ip agregar protocolo=comentario icmp = "Permitir ping ICMP"
/entrada de regla de firewall ip add src-address=192.168.0.0/24 \
comment="Desde mi red doméstica"
/ip entrada de regla de firewall agregar acción=soltar registro=yes \
<p> comment="Registrar y descartar todo lo demás"
Opcional) Configure el servicio DHCP para distribuir la configuración IP a su red doméstica:
/ip pool add name=private ranges = 192.168.0.2-192.168.0.254
/ip dhcp-server red agregar puerta de enlace=192.168.0.1 dirección=192.168.0.0/24 \
dns-server=195.13.160.52, 195.122 .1.59 dominio="mail.com"
/ip dhcp-server agregar nombre=home interfaz=ether2 tiempo de arrendamiento=3h \
dirección-pool=privado
/ip dhcp-server enable home
¡Por aquí! Puede acceder a Internet a través de su red doméstica.
Cómo mantener actualizado mi enrutador
Descripción de la propiedad
Para mantener actualizado tu enrutador, debes:
Actualizar a la última versión del RouterOS Versión de software
Si tiene una RouterBoard, necesita actualizar la versión del firmware del BIOS
Esta sección le presentará cómo actualizar la versión del firmware del BIOS de su RouterBoard.
Primero, verifique que uno de los paquetes de funciones de su enrutador esté instalado
[admin@MikroTik] system packagegt; print
Flags: I - invalid
p># NOMBRE VERSIÓN TIEMPO DE CONSTRUCCIÓN DESINSTALAR
0 routerboard 2.8.14 ago/06/2004 15:30:32 no
1 seguridad 2.8.14 ago/06 /2004 14:08:54 no
2 sistema 2.8.14 06/ago/2004 14:03:02 no
3 herramientas avanzadas 2.8.14 06/ago/2004 14:04:55 no
4 inalámbrico 2.8.14 06/ago/2004 14:42:17 no
[admin@MikroTik] paquete del sistema;
Compruebe el firmware del BIOS de su RouterBoard:
[admin@MikroTik] system routerboardgt; print
routerboard: sí
modelo: 230
número de serie: 8387617
firmware actual: 1.3.1 06/ago/2004 15:30:19)
firmware de actualización: 1.3.1 06/ago/2004 15 :30:19)
[admin@MikroTik] system routerboardgt;
La última actualización del BIOS se puede ver en el documento de todos los paquetes (/archive.html) en la página de descarga. El archivo de actualización del BIOS se denomina wlb-bios-[número_versión].fwf donde número_versión es la versión del firmware del BIOS.
Si este archivo contiene una versión más reciente, cópielo al enrutador vía FTP usando el modo de transferencia de archivos binarios.
Pero una vez completado, debería poder ver el archivo y la información del firmware del BIOS incluido en el directorio /file:
[admin@MikroTik] system routerboardgt /file print
#; NOMBRE TIPO TAMAÑO TIEMPO DE CREACIÓN
0 wlb-bios-1.3.2.fwf routerbios 73079 07/sep/2004 00:12:05
[admin@MikroTik] sistema routerboardgt;
Verifique la versión del firmware del BIOS del RouterBoard y podrá ver una versión disponible para actualización:
[admin@MikroTik] system routerboardgt
routerboard: sí
modelo: 230
número de serie: 8387617
firmware actual: 1.3.1 06/08/2004 15:30:19)
actualización-firmware: 1.3.2 22/ago/2004 12:13:56)
[admin@MikroTik] system routerboardgt;
Ahora actualice el BIOS a través la versión del comando de actualización.
[admin@MikroTik] system routerboardgt; actualización
La actualización del firmware requiere reiniciar el enrutador [sí/n]
Después de seleccionar y, el El software se reiniciará automáticamente. Después de actualizar el BIOS, no reinicie el enrutador manualmente. Después de que el enrutador se reinicie, puede verificar la nueva versión del BIOS:
[admin@MikroTik] system routerboardgt; print
routerboard: sí
modelo: 230
número de serie: 8387617
firmware actual: 1.3.2 22/ago/2004 12:13:56)
firmware de actualización: 1.3.2 22/ago/2004 12:13:56)
[admin@MikroTik] system routerboardgt;
¿Cómo configurar un puente transparente en dos redes?
Descripción de la propiedad
Las redes remotas se pueden conectar simplemente a través de MikroTik RouterOS. El transporte Ethernet sobre IP (EoIP) o las funciones WDS se pueden extender a otros tipos de tarjetas de red. como PPTP, CISCO/Aironet, Prisma. WDS sólo funciona en tarjetas de red Prism y Atheros.
Nota: Debido a que MikroTik RouterOS no puede crear directamente un puente transparente entre dos dispositivos inalámbricos, se implementa a través de EoIP.
Supongamos la siguiente configuración de red:
Puente transparente usando un túnel EoIP
Los siguientes pasos crearán un puente transparente usando una interfaz EoIP:
Asegúrese de poder conectar dos enrutadores MikroTik, por ejemplo, un enrutador está configurado como AP de servidor y el otro es una estación cliente):
[admin@AP] gt; wlan1 mode=bridge ssid=mikrotik \
\...disable=no
[admin@Estación] interfaz inalámbrica imprimir
[admin@Estación] interface wirelessgt; set wlan1 mode=station ssid=mikrotikdisable=no
Asegúrate de que la configuración IP sea correcta y puedas acceder de un router a otro:
[admin@AP] gt; dirección IP agregar dirección=10.1.0.1/24 interfaz=wlan1
[admin@Station] gt; dirección IP agregar dirección=10.1.0.2/24 interfaz=wlan1
[ admin@ Station] gt; ping 10.1.0.1
10.1.0.1 pong de 64 bytes: ttl=64 tiempo=1 ms
10.1.0.1 pong de 64 bytes: ttl=64 tiempo= 1 ms
2 paquetes transmitidos, 2 paquetes recibidos, 0 paquetes perdidos
ida y vuelta min/avg/max = 1/1,0/1 ms
[ admin@ Station] gt;
Agregar interfaz de túnel EoIP:
[admin@AP] gt; interfaz eoip add dirección-remota=10.1.0.2 id-túnel=1 deshabilitado=no
[admin@Station] gt; interface eoip add remote-address=10.1.0.1 Tunnel-id=1 \\...disable=no
Agrega la interfaz del puente y agrega la interfaz correspondiente Ponga:
[admin@AP] gt; puente de interfaz agregue forward-protocols=ip, arp, other deshabilitado=no
[admin@AP] gt; puerto de puente configurado eoip-tunnel1, ether1 bridge=bridge1
[admin@Station] gt; interfaz bridge add forward-protocols=ip, arp, other \
\... deshabilitado =no
[admin@Station] gt; puerto de puente de interfaz configurado eoip-tunnel1, puente ether1=
bridge1
Nota:
Si está conectado a través de ether1, la conexión se perderá después de la configuración. Esto se debe al cambio de configuración de la tarjeta de red.
Mueva la dirección IP de la tarjeta Ethernet a la interfaz del puente:
[admin@AP] ip addressgt; set [find interface=ether1 ] interface=bridge1
[admin@AP] dirección IPgt; imprimir
Banderas: X - deshabilitado, I - no válido, D - dinámico
# DIRECCIÓN INTERFAZ DE TRANSMISIÓN DE RED
0 10.0.0.215/24 10.0.0.0 10.0.0.255 puente1
1 10.1.0.1/24 10.1.0.0 10.1.0.255 wlan1
[admin@AP] dirección IPgt;
[admin@Estación] dirección IPgt; establecer [buscar interfaz=ether1 ] interfaz=puente1
[admin@Estación] dirección IPgt; imprimir
Banderas: X - deshabilitado, I - no válido, D - dinámico
# DIRECCIÓN INTERFAZ DE TRANSMISIÓN DE RED
0 10.0.0.216/24 10.0.0.0 10.0.0.255 puente1
1 10.1 0.2/24 10.1.0.0 10.1.0.255 wlan1 [admin@Station] dirección ipgt;
Ahora puede conectarse al enrutador a través de la interfaz bridge1 en ether1.
Pruebe la conexión del puente haciendo ping desde 10.0.0.215 a 10.0.0.216. Tenga en cuenta que el puente tarda entre 10 y 30 segundos en conocer la dirección y comenzar a pasar el tráfico.
Si tiene una tarjeta de red Prism, CISCO/Aironet o un túnel PPTP cifrado, también puede crear un puente transparente EoIP. Sin embargo, el túnel EoIP solo se puede utilizar para establecer entre dos enrutadores MikroTik.
¿Cómo conectar una dirección de red pública a una dirección local?
Descripción de la propiedad
Por ejemplo, una computadora tiene su propia dirección en la LAN pero necesita utilizar la comunicación de la red pública.
Supongamos que se asignan dos direcciones (10.0.0.216 y 10.0.0.217) al enrutador. En este ejemplo, realizaremos una 'NAT completa' a la dirección interna 192.168.0.4 que apunta a la dirección externa 10.0.0.216. La dirección de red externa 10.0.0.217 todavía se utiliza para disfrazar su propia red interna.
Agregue las direcciones 10.0.0.216/24 y 10.0.0.217/24 a la tarjeta de red externa del enrutador y configure 192.168.0.254/24 a la tarjeta de red interna:
/dirección ip
agregar dirección=10.0.0.216/24 interfaz=Pública
agregar dirección=10.0.0.217/24 interfaz=Pública
agregar dirección=192.168.0.254/ 24 interfaz=Local
imprimir
Banderas: X - deshabilitado, I - no válido, D - dinámico
# DIRECCIÓN INTERFAZ DE TRANSMISIÓN DE RED
0 10.0.0.216/24 10.0.0.0 10.0.0.255 Público
1 10.0.0.217/24 10.0.0.0 10.0.0.255 Público
2 192.168.0.254/24 192.168.0.0 192.168.0.255 Local
Al agregar la ruta predeterminada debes tener en cuenta que hay dos direcciones.
Al agregar la ruta predeterminada al enrutador, debe tener en cuenta que tiene dos direcciones. Debe especificar la dirección que utilizará el enrutador mientras habla con las redes externas:
/ip route
<. p> agregar puerta de enlace=10.0.0.1 fuente-preferida=10.0.0.217imprimir
Banderas: X - deshabilitado, I - no válido, D - dinámico, J - rechazado, p>
C - conectar, S - estático, r - rip, o - ospf, b - bgp
# DST-DIRECCIÓN G GATEWAY DISTANCIA INTERFAZ
0 S 0.0.0.0/0 r 10.0.0.1 1 Público
1 DC 10.0.0.0/24 r 0.0.0.0 0 Público
2 DC 192.168.0.0/24 r 0.0.0.0 0 Local
Agregar reglas dst-nat para permitir el acceso desde la red externa al servidor de intranet:
/ip firewall dst-nat
add dst-address= 10.0.0.216 /32 action=nat to-dst-address=192.168.0.4
imprimir
Banderas: X - deshabilitado, I - no válido, D - dinámico
0 dst-address=10.0.0.216/32 action=nat to-dst-address=192.168.0.4
Agregue la regla src-nat para permitir que el servidor de la red interna se comunique con la red externa, y esto es además de 192.168.0.4. La dirección del host sale a través de la dirección de red externa 10.0.0.216, y otras direcciones de red interna pasan a través de 10.0.0.217:
/ip firewall src-nat
agregar src-address=192.168.0.4/ 32 action=nat to-src-address=10.0.0.216
agregar src-address=192.168.0.0/24 action=nat to-src- dirección=10.0.0.217
imprimir
Banderas: /p>
1 dirección-src=192.168.0.0/24 acción=nat a-dirección-src=10.0.0
.217
Algunos consejos:
Si es un usuario de ADSL, según la descripción anterior, no especifique la IP y la máscara en la interfaz de red de la red externa, y no No lo especifique en la tabla de enrutamiento. Agregue ningún registro de enrutamiento estático, pero agregue el Cliente PPPoE en la interfaz de red de la red externa e ingrese la cuenta ADSL y la contraseña en las propiedades del Cliente PPPoE. En este momento, la interfaz de red externa obtendrá automáticamente una IP y también obtendrá registros de enrutamiento.
Si solo es un usuario de IP dinámica pero no un usuario de ADSL, no debe especificar la IP ni la máscara en la interfaz de red de la red externa según la descripción anterior, y no debe agregar ninguna ruta estática a la tabla de enrutamiento para grabar, solo necesita agregar el cliente DHCP a la interfaz de red de la red externa. En este momento, la interfaz de red externa obtendrá automáticamente una IP y también obtendrá registros de enrutamiento.
Configuración para el límite de velocidad IP10 en MikroTik RouterOS
Cambie el siguiente comando de impresión a
[root@MikroTik] queue print
<; p>Banderas: p>interfaz=all queue=prioridad predeterminada=8 limit-at=0/0
max-limit=800000/00
MikroTik RouterOS limita Thunder a un único recurso Configuración descargada
Cambie el siguiente comando de impresión a
[admin@MikroTik] ip firewall rule forwardgt
Flags: X - deshabilitado; , I - no válido, D - dinámico
0;;; Permitir IP252 todo
src-address=192.168.1.252/32 action=accept
1; ;; Deshabilitar ambos puertos TCP de Xunlei
dst-address=:3076-3077 protocolo=tcp action=drop
2;;; Deshabilitar dos puertos UDP de Xunlei
dst -address=:3076-3077 protocolo=udp action=drop
Configuración de asignación de puertos MikroTik RouterOS
[admin@MikroTik] firewall IP dst-natgt; dst-address=218 *.*.170/32:21 protocolo=tcp action=nat to-dst-address=192.168.1.251 to-dst-port=21