RouterOS2.96 DHCP+ADSL(PPPoE)+NAT路由共享上网的设置
网上下载的大多的ISO包,直接刻录成CD,不要解压!电脑上设光驱先启动,出现提示(按空格选择,按A键全部,选完后,按I键开始安装,新手建议全部安装,以后省得麻烦!!只需几分钟!!
刚装好的RouterOS用户名admin,密码为空!进去后可用pass命令改密码!以下就几种常见的操作整理如下,希望对大家有所帮助!(其实是网上找的,不过是合集),好,看吧:
记住要设网关哦,我第一次做的时候倒腾了几个小时,最后才发现网关没设!见笑了。
一、设网卡IP网卡接口更名(更名只为了好看)
/ interface ethernet set 0 name=\"LAN\" disabled=noset 1 name=\"WAN\" disabled=no
用print检查一下,设置好后都可以用print检查是否设好 [admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running # NAME TYPE RX-RATE TX-RATE MTU 0 R LAN ether 0 0 1500 1 R WAN ether 0 0 1500
设LAN口IP
/ ip addressadd address=192.168.0.1/24 inter>LAN
设好IP后就可以用WINBOX来操作了。打字好烦的,还是WINBOX好 二、建立DHCP服务器设IP地址池
/ ip pooladd name=\"dhcp_pool1\" ranges=192.168.0.2-192.168.0.254
设DHCP服务器
/ ip dhcp-serveradd name=\"dhcp1\" inter>LAN address-pool=dhcp_pool1 disabled=no
/ ip dhcp-server networkadd address=192.168.0.0/24 gateway=192.168.0.1 dns-server=192.168.0.1
三、建立DNS服务器(为了少向ISP的DNS请求,设置DNS缓存)
/ip dns set primary-dns=202.96.134.133 secondary-dns=202.96.128.68 allow-remote-requests=yes
也可设自己的域名
/ ip dns static add name=\"www.myweb.com\" address=192.168.0.2 局域网的电脑就可能通过www.myweb.com访问192.168.0.2主机了
四、建立ADSL拔号,即PPPoE拔号
/ interface pppoe-client add name=\"pppoe-out1\" inter>WAN user=\"123456@163.gd\" password=\"123456\" add-default-route=yes use-peer-dns=yes disabled=no
五、设置NAT(网络地址转换)
/ip firewall nat add chain=srcnat action=masquerade
////////////////另一种方法,,,设置共享上网
选Nat 点+
选第一项General Chain:srcnat 选第四项Action 设置Action:masquerade 选Mangle
点+ 选第一项General 设置:
Chain:prostrouting Protocol:6(tcp)
选第二项Advanced 设置:TCP Flags:syn
选第四项Action Action:change MSS New TCP MSS:1400
这样设置就可以共享上网了.
/////////////////////////////////////////////////////////// 六、防火墙规则设置
ip firewall rule input !!防火墙!!!!
add protocol=tcp tcp-options=no-sys-only connection-state=established action=accept comment=\"Established TCP connections\" disabled=no add connection-state=related action=accept comment=\"Related connections\" disabled=no
add dst-address=:69 protocol=tcp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:69 protocol=udp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:134-139 protocol=tcp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:134-139 protocol=udp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:161-162 protocol=tcp action=drop comment=\"drop SNMP Trap\" disabled=no
add dst-address=:161-162 protocol=udp action=drop comment=\"drop SNMP Trap\" disabled=no
add dst-address=:445 protocol=tcp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:445 protocol=udp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:554 protocol=tcp action=drop comment=\"drop blaster wrom\" disabled=no
add dst-address=:554 protocol=udp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:593 protocol=tcp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:593 protocol=udp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:1025 protocol=tcp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:1025 protocol=udp action=drop comment=\"drop blaster worm\" disabled=no
add det-address=:1068 protocol=tcp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:1068 protocol=udp action=drop comment-\"drop blaster worm\" disabled=no
add dst-address=:2000 protocol=tcp action=drop comment=\"drop Millenium\" disabled=no
add dst-address=:2000 protocol=udp action=drop comment=\"drop millenium\" disabled=no
add dst-address=:3127-3198 protocol=tcp action=drop comment=\"drop proxy worm\" disabled=no
add dst-address=:3127-3198 protocol=udp action=drop comment=\"drop proxy worm\" disabled=no
add dst-address=:3389 protocol=tcp action=drop comment=\"drop windows supper clinet link\" disabled=no
add dst-address=:3389 protocpl=udp action=drop comment=\"drop windows supper clinet link\" disabled=no
add dst-address=:4444 protocol=tcp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:4444 protocol=udp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:5554 protocol=tcp action=drop comment=\"drop blaster worm\\' disabled=no
add dst-address=:5554 protocol=udp action=drop comment=\"drop Bt download\" disabled=no
add dst-address=:6881-6889 protocol=tcp action=drop comment=\"drop drop Bt download\" disabled=no
add dst-address=:6881-6889 protocol=udp action=drop comment=\"drop drop Bt download\" disabled=no
add dst-address=:8881-8889 protocol=tcp action=drop comment=\"drop drop Bt download\" disabled=no
add dst-address=:8881-8889 protocol=udp action=drop comment=\"drop drop Bt download\" disabled=no
add dst-address=:39213 protocol=tcp action=drop comment=\"drop worm\" disabled=no
add dst-address=:39213 protocol=tcp action=drop comment=\"drop worm\" disabled=no
add protocol=udp action=accept comment=\"udp\" disabled=no add dst-address=XXX.XXX.XXX.XXX/32 protocol=icmp action=drop add protocol=icmp limit-count=50 limit-burst=2 limit-time=5s action=accept comment=\"allow limited pings\" disabled=0
comment=\"dont ping me\" disabled=no
add dst-address=!192.168.0.0/24:3987 protocol=tcp action=drop comment=\"dont link me\" disabled=no
add src-address=192.168.0.0/24 dst-address=192.168.0.125/32 action=accept comment=\"from lan admin\" disabled=no
add action=drop log=yes comment=\"Log and drop everything else\" disabled=no
ip firewall rule forward (禁止某些网站IP)
add dst-address=:134-139 protocol=tcp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=:134-139 protocol=tcp action=drop comment=\"drop blaster worm\" disabled=no
add dst-address=61.240.246.41/32 action=DROP comment=\"DROP WWW. CY07.COM\" disabled=no
ip service 禁止外网控制路由
set telent port=23 address=192.168.0.0/24 disabled=yes
set ftp port=21 address=192.168.0.0/24 disabled=no (把21端口改了) set www port=80 address=192.168.0.0/24 disabled=no (把80端口改了) set ssh port=22 address=192.168.0.0/24 disabled=yes
user 管理员只能在内网登陆 set 0 address=192.168.0.0/24
///////////////////////////////////////////////////////////////////////////////// 七、设置hotspot认证
参照routeros的手册,针对我的情况作了部分修改。已经在2.7.14和2.8.11上测试通过。
我的routeros是2块网卡,ether1连接adsl,做pppoe client,ether2连接局域网。
首先按照其他的安装说明正确安装并配置routeros,实现客户机能够正常上网。 然后terminal routeros
改变www服务端口为8081: /ip service set www port=8081
改变hotspot服务端口为80,为用户登录页面做准备: /ip service set hotspot port=80
Setup hotspot profile to mark authenticated users with flow name \"hs-auth\": /ip hotspot profile set default mark-flow=\"hs-auth\" login-method=enabled-address
增加一个用户:
/ip hotspot user add name=user1 password=1
重定向所有未授权用户的tcp请求到hotspot服务
/ip firewall dst-nat add in-interface=\"ether2\" flow=\"!hs-auth\" protocol=tcp action=redirect
to-dst-port=80 comment=\"redirect unauthorized clients to hotspot service\"
允许dns请求、icmp ping ;拒绝其他未经认证的所有请求:
/ip firewall add name=hotspot-temp comment=\"limit unauthorized hotspot clients\"
/ip firewall rule forward add in-interface=ether2 action=jump jump-target=hotspot-temp comment=\"limit access for unauthorized hotspot clients\"
/ip firewall rule input add in-interface=ether2 dst-port=80 protocol=tcp
action=accept comment=\"accept requests for hotspot servlet\"
/ip firewall rule input add in-interface=ether2 dst-port=67 protocol=udp
action=accept comment=\"accept requests for local DHCP server\"
/ip firewall rule input add in-interface=ether2 action=jump jump-target=hotspot-temp comment=\"limit access for unauthorized hotspot clients\"
/ip firewall rule hotspot-temp add flow=\"hs-auth\" action=return comment=\"return if connection is authorized\"
/ip firewall rule hotspot-temp add protocol=icmp action=return comment=\"allow ping requests\"
/ip firewall rule hotspot-temp add protocol=udp dst-port=53 action=return
comment=\"allow dns requests\"
/ip firewall rule hotspot-temp add action=reject comment=\"reject access for unauthorized clients\"
创建hotspot通道给认证后的hotspot用户
Create hotspot chain for authorized hotspot clients:
/ip firewall add name=hotspot comment=\"account authorized hotspot clients\"
Pass all through going traffic to hotspot chain:
/ip firewall rule forward add action=jump jump-target=hotspot comment=\"account traffic for authorized hotspot clients\"
客户机输入任何网址,都自动跳转到登陆页面,输入账号密码,继续浏览。 如果使用ftp、pop3等,也必须先通过网页登录,才可以使用,当然使用winbox的时候也必须先登录。
八、绑定IP地址
通过ROS绑定IP方法就粉墨登场了。将欲绑定的客户机,开机,随便进行点网络活动,比如全部浏览www.router.net.cn.
下载WINBOX,用超级管理员账号登录,IP-----ARP(图2),这样可以看到 一行行的 IP和MAC地址,这些就是内网有网络活动的计算机。选中一个,双击,点右下角的TOOLS----在出来的菜单里,选COPY----点OK,依次进行,全部绑定后,来到WINBOX的INTERFACE选项,双击外网网卡,在ARP选项里,选择
“replay-only”至此,通过ROS绑定IP完毕,这样下面客户机只要一改IP,那么它就无法和网关进行通讯了,当然也无法使主机掉线了。
九.配置PPPoE 服务器 配置PPPoE-Server
这里有点麻烦,还请大家特别注意当前工作目录。 RouterOs的PPPoE Server 配置大致可分4个步骤
为PPPoE虚拟拨号用户设置一个IP地址池,用于给客户动态分配IP地址。 添加一个PPP profile ,设置一个路由器IP地址,以使客户可以从IP POOL中获取IP地址。
添加PPPoE拨号用户,用户可以使用用户名和口令进行拨号。 添加一个PPPoE Server。
工作完成,用户才可以进行虚拟拨号。再强调一下,请大家注意工作目录。 我们来具体操作一下:
① 添加一个名称为mypool的地址池
[admin@MikroTik] ip pool> add name=mypool ranges=192.168.0.3-192.168.0.254
可以使用print命令看一下: [admin@MikroTik] ip pool> print # NAME RANGES
0 mypool 192.168.0.3-192.168.0.254 ② 添加一个名称为myserver的PPP Profile [admin@MikroTik] ppp profile> add name=myserver local-address=192.168.0.1 remote-address=mypool 可以使用print命令看一下:
[admin@MikroTik] ppp profile> print
Flags: * - default
1 name=\"myserver\" local-address=192.168.0.1 remote-address=mypool session-timeout=0s idle-timeout=0s
use-compression=no use-vj-compression=no use-encryption=no require-encryption=no only-one=no
change-tcp-mss=yes tx-bit-rate=0 rx-bit-rate=0 incoming-filter=\"\" outgoing-filter=\"\" dns-server=\"\" wins-server=\"\"
③ 为PPPoE Server添加用户名为yourland,口令为10057,该用户只能使用PPPoE服务。
[admin@MikroTik] ppp secret> add name=yourland password=10057 service=pppoe profile=myserver 使用命令print看一下:
[admin@MikroTik] ppp secret> print Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS 0 yourland pppoe 10057 myserver 0.0.0.0
④ 添加一个PPPoE 服务,名为mypppoe,端口设置为内网接口ether2
[admin@MikroTik]interface pppoe-server server>add service-name=mypppoe interface=ether2 default-profile=myserver 也可以使用命令print看一下。
配置客户机
客户机上只需要安装一款PPPoE虚拟拨号软件就可以了。只是要注意,客户机和PPPoE服务器要通过交换机正确连接才可以。
十、实战ADSL拨号上网
进入WinBOX后,点击InterFaces,选择跟ADSL链的网卡的接口,我一般把外网接口改为WAN,内网当然是LAN了(只要为了方便清楚,可以不改)。 选择WAN,点红色+号键,选择PPPOE CLIENT,在Service中输入注释,user输入ADSL用户名,Password就是密码了。并对选项框打勾(保存ADSL密码)-->APPLY.如果需要设置按需拔号,就勾上 Dial On Demand就可以了。 设置完成,明白了吗?
十一、动态IP设置
/ip dhcp-client set enabled=yes interface=public 上面命令设置
ip dhcp-client lease print 上面命令看是否抓到ip
因篇幅问题不能全部显示,请点此查看更多更全内容