MikroTik Router2.9基本说明

MikroTik RouterOS安装及注册图解一、通过下载光盘镜像文件，并制作成启动安装光盘。

二、将光盘放入光驱中，并将电脑的BIOS启动设置为光驱引导。

三、当光驱引导完成后，在屏幕上会出现如下显示：上面是进入RouterOS的安装功能选择操作，从图中可以看到RouterOS的各个功能选择，图中前排英文提示为，移去所有功能选项按“p”或“n”键，选择一个功能选项用“空格”键，选择所有功能按“a”键，最小安装按“m”，按“i”键则是本地安装，“r”是安装远程的路由器，“q”是取消安装并重启。

四、选择功能，如在安装L4以上级别，推荐安装功能如下：五、选择好功能组件后，即可按“i”键进行安装，此时会提示“硬盘上的所有数据都会被删除，是否继续”选择“y”继续，如果是“n”键安装会停止，并会重启。

选择“y”继续后，会提示是否保持以前配置，这是升级安装，并想保留以前路由器的设置参数，选择“y”，如果是不想保留则选择“n”。

(新安装则选择“n”)六、选择完后RouterOS开始安装七、安装完后RouterOS提示按“回车”键，并重启。

八、安装完后，进入系统会提示输入注册码，如下图：九、在进入系统后，会有24小时的使用时间，“Software ID”表示的是ROS的ID号，如上图所示为KRYH-I8N 通过此ID号申请注册码。

因为注册码比较长所以需要使用winbox进行操作，更为简便直观。

十、首先将Winbox下载到可以与RouterOS相连接的Windows电脑上，然后双击打开，如图：十一、在没有设置IP地址前使用MAC地址登录，点击winbox中扫描按钮，选择需要登录的ROS，默认的为“admin”，密码为空；按回车或者点击“connect”进行登录。

十二、当您获得注册码后，请通过复制注册码的所有信息，进入Winbox中的system >> license项，点击paste key选项粘贴注册码。

MikroTik RouterOS v2.9基本操作说明CDNATRouterOS应用说明主要特征TCP/IP协议组：∙Firewall和NAT–包状态过滤；P2P协议过滤；源和目标NAT；对源MAC、IP地址、端口、IP协议、协议（ICMP、TCP、MSS等）、接口、对内部的数据包和连接作标记、ToS 字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制...∙路由–静态路由；多线路平衡路由；基于策略的路由(在防火墙中分类); RIP v1 / v2, OSPF v2, BGP v4∙数据流控制–能对每个IP、协议、子网、端口、防火墙标记做流量控制；支持PCQ, RED, SFQ, FIFO对列; Peer-to-Peer协议限制∙HotSpot– HotSpot认证网关支持RADIUS验证和记录；用户可用即插即用访问网络；流量控制功能；具备防火墙功能；实时信息状态显示；自定义HTML登录页；支持iPass；支持SSL安全验证；支持广告功能。

∙点对点隧道协议–支持PPTP, PPPoE和L2TP访问控制和客户端；支持PAP, CHAP, MSCHAPv1和MSCHAPv2 验证协议；支持RADIUS验证和记录；MPPE加密；PPPoE 压缩；数据流控制；具备防火墙功能；支持PPPoE按需拨号。

∙简单隧道– IPIP隧道、EoIP隧道(Ethernet over IP)∙IPsec–支持IP安全加密AH和ESP协议；∙Proxy–支持FTP和HTTP缓存服务器；支持HTTPS代理；支持透明代理；支持SOCKS协议；DNS static entries; 支持独立的缓存驱动器；访问控制列表；支持父系代理。

∙DHCP– DHCP服务器；DHCP接力；DHCP客户端; 多DHCP网络；静态和动态DHCP租约；支持RADIUS。

∙VRRP–高效率的VRRP协议（虚拟路由冗余协议）∙UPnP–支持即插即用∙NTP–网络对时协议服务器和客户端；同步GPS系统∙Monitoring/Accounting– IP传输日志记录；防火墙活动记录；静态HTTP图形资源管理。

MikroTikRouterOS安装后初始化配置（PPPOE拨号上⽹）1、修改登⼊密码路由器默认登⼊账号为admin，密码为空，强烈建议修改登⼊密码保证安全：2、修改接⼝名称选择Interface，切换到Ethernet标签，找到状态是R（run）的两个端⼝。

给⽹⼝修改名称⽅便识别⽐如我们双击ether2端⼝，我们发现ether2⽹卡MAC地址和winbox标题栏显⽰的MAC地址⼀致，说明这是连接PC的端⼝，我们给它改名为lan，那么剩下的另外⼀个ether1就是外⽹了，我们命名为wan3、配置内⽹DHCP我们在内⽹搭建⼀个DHCP Server，⽅便内⽹pc⾃动获取IP上⽹。

⽐如这⾥我们内⽹使⽤192.168.3.0/24，内⽹⽹关设置为192.168.3.251：创建pool我们创建⼀个pool范围为192.168.3.2 ~ 192.168.3.200，让内⽹⽤户⾃动获取⼀个此范围内的IP。

创建DHCP Server以及⽹络，按照这些设置好之后，接在lan⼝的pc即可⾃动获取到pool1内的IP地址。

4、配置外⽹拨号上⽹pppoe拨号接⼊⽅式，在Interface选项，点击倒三⾓，选择PPPoE Client：这⾥我们给建⽴的拨号命名为ADSL（⾃⼰命名），端⼝选外⽹⼝，切到Dial Out标签，输⼊宽带账号密码，点击OK，看到状态那⾥显⽰R（run），表⽰已经连接成功拨上号了，但是还不能上⽹。

5、配置路由表：IP —>Routes，新建⼀条路由，gateway选择前⾯创建的ADSL伪装IP —> firewall，1.切换到NAT标签，chain选择源地址转换srcnat2.切换到Action标签，选择masquerade6、配置DNSIP —>DNS输⼊ISP提供的DNS地址，点击那个倒三⾓，输⼊备⽤DNS，勾上Allow Remote Requests: 允许远程请求。

RouterOS 2.9.27安装及设置ROS安装图解机器要求主板: 815以上网卡:Intel 82559( 推荐) 也可以使用8139.INTEL82540 等,最好两块一样型号硬盘: 电子硬盘( 推荐) 也可以使用IDE 硬盘1G -80G光驱: 安装时使用显卡: 主板自带( 或者别的, 没有要求) 好了可以开始了, 从光盘启动我们可以看到这个画面"p"=up,"n"=down,"spacebar"=空格键,locally<-->remote router本地-远程路由器这里是问你选择要安装的组件, 我们按 A 全选( 也可以通过方向键和空格键选择要安装的组件) 这里先不作组件的介绍, 我就就全选 A按I 键开始安装会有一个提示Do you want to keep old configuration? [y/n]:意思问你是否保持磁盘原有的格式, 这里我们选N, 不保留configuration|ju|=配置n接下来还有个提示,warning:all data on the disk will be erased!Continue? 选Yerased|i,ei|=擦掉，抹去正在格式化硬盘, 正在复制文件安装完成。

这个时候请取出光盘, 或调成从硬盘启动, 或者拆下光驱,ROS 就安装好了, 光驱不需要了，建议：取出光盘（最简洁，方便，安全的操作）按回车重启路由, 进入登录界面接上内网网线, 也可以直接也计算机对连ROS 下配制默认用户名:ADMIN 密码: 空登录成功会有一个提示Do you want to see the software license? [y/n]:意思是问你是否要看ROS 使用说明和服务条款, 都是 E 文的, 如果你想看的话选Y, 这里我就不看了选N 跳过直接进入我们关键的IP 配制关键步骤然后输入int,进入interface命令行，输入print查看网卡是否启用,默认是启用的，标志是网卡名字前面显示R，比如我的网卡ether1前面显示R。

MikroTikRouterOS2.9X防火墙设置MikroTik RouterOS 2.9.x防火墙设置ip firewall connection trackingset enabled=yes tcp-syn-sent-timeout=1m tcp-syn-received-timeout=1m \tcp-established-timeout=1d tcp-fin-wait-timeout=10s \tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m/ ip firewall filteradd chain=input protocol=tcp dst-port=135-139 action=dropadd chain=input protocol=udp dst-port=135-139 action=dropadd chain=input connection-state=established action=acceptadd chain=input connection-state=related action=acceptadd chain=input src-address=127.0.0.1 dst-address=127.0.0.1 action=acceptadd chain=input connection-state=invalid action=dropadd chain=input dst-address-type=!local action=dropadd chain=input src-address-type=!unicast action=dropadd chain=input protocol=tcp psd=21,3s,3,1 action=drop add chain=input protocol=tcp connection-limit=10,32 action=add-src-to-address-list address-list=black_list address-list-timeout=1dadd chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpitadd chain=input protocol=icmp icmp-options=0:0-255 limit=5,5 action=acceptadd chain=input protocol=icmp icmp-options=3:3 limit=5,5 action=acceptadd chain=input protocol=icmp icmp-options=3:4 limit=5,5 action=acceptadd chain=input protocol=icmp icmp-options=8:0-255 limit=5,5 action=acceptadd chain=input protocol=icmp icmp-options=11:0-255 limit=5,5 action=acceptadd chain=output protocol=icmp icmp-options=0:0-255 limit=5,5 action=acceptadd chain=output protocol=icmp icmp-options=3:3 limit=5,5 action=acceptadd chain=output protocol=icmp icmp-options=3:4 limit=5,5 action=acceptadd chain=output protocol=icmp icmp-options=8:0-255 limit=5,5 action=acceptadd chain=output protocol=icmp icmp-options=11:0-255 limit=5,5 action=acceptadd chain=forward protocol=icmp icmp-options=0:0-255 limit=5,5 action=acceptadd chain=forward protocol=icmp icmp-options=3:3 limit=5,5 action=acceptadd chain=forward protocol=icmp icmp-options=3:4 limit=5,5 action=acceptadd chain=forward protocol=icmp icmp-options=8:0-255 limit=5,5 action=acceptadd chain=forward protocol=icmp icmp-options=11:0-255limit=5,5 action=acceptadd chain=input protocol=icmp action=dropadd chain=output protocol=icmp action=dropadd chain=forward protocol=icmp action=drop/ ip firewall service-portset ftp ports=21 disabled=noset tftp ports=69 disabled=noset irc ports=6667 disabled=noset h323 disabled=noset quake3 disabled=noset mms disabled=noset gre disabled=noset pptp disabled=no/ip firewall mangleadd chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1440说明:/ ip firewall connection trackingset enabled=yes tcp-syn-sent-timeout=1m tcp-syn-received-timeout=1m \tcp-established-timeout=1d tcp-fin-wait-timeout=10s \tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m# + 放火墙部分+#/ ip firewall filter# 关135-139端口不用多说了add chain=input protocol=tcp dst-port=135-139 action=drop comment="drop Port"add chain=input protocol=udp dst-port=135-139 action=drop# + 对本机数据包相关+## 允许已建立的连接add chain=input connection-state=established action=accept comment="input"add chain=input connection-state=related action=accept# 允许本机对本机add chain=input src-address=127.0.0.1 dst-address=127.0.0.1 action=accept# 丢弃明显异常包add chain=input connection-state=invalid action=drop# 丢弃目标非本机的包add chain=input dst-address-type=!local action=drop# 丢弃多播包add chain=input src-address-type=!unicast action=drop# + 安全相关+## 在短时间内从同一地址用不断变化的端口向本机发送大量数据包,视为端口扫描add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="..."# 短时间内同时建立大量TCP连接(超过10),视为DoS拒绝服务攻击,进黑名单一天!add chain=input protocol=tcp connection-limit=10,32 action=add-src-to-address-list address-list=black_list address-list-timeout=1d disabled=no# 黑名单上的只能建立3个并发连接,tarpitadd chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit disabled=no # + ICMP相关+## 允许常见命令ping tracert,其它ICMP丢弃add chain=input protocol=icmp icmp-options=0:0-255 limit=5,5 action=acceptadd chain=input protocol=icmp icmp-options=3:3 limit=5,5 action=acceptadd chain=input protocol=icmp icmp-options=3:4 limit=5,5 action=acceptadd chain=input protocol=icmp icmp-options=8:0-255 limit=5,5 action=acceptadd chain=input protocol=icmp icmp-options=11:0-255 limit=5,5 action=acceptadd chain=output protocol=icmp icmp-options=0:0-255 limit=5,5 action=acceptadd chain=output protocol=icmp icmp-options=3:3 limit=5,5 action=acceptadd chain=output protocol=icmp icmp-options=3:4 limit=5,5 action=acceptadd chain=output protocol=icmp icmp-options=8:0-255 limit=5,5 action=acceptadd chain=output protocol=icmp icmp-options=11:0-255 limit=5,5 action=acceptadd chain=forward protocol=icmp icmp-options=0:0-255 limit=5,5 action=acceptadd chain=forward protocol=icmp icmp-options=3:3 limit=5,5 action=acceptadd chain=forward protocol=icmp icmp-options=3:4 limit=5,5 action=acceptadd chain=forward protocol=icmp icmp-options=8:0-255 limit=5,5 action=acceptadd chain=forward protocol=icmp icmp-options=11:0-255 limit=5,5 action=acceptadd chain=input protocol=icmp action=dropadd chain=output protocol=icmp action=dropadd chain=forward protocol=icmp action=drop/ ip firewall service-portset ftp ports=21 disabled=noset tftp ports=69 disabled=noset irc ports=6667 disabled=noset h323 disabled=noset quake3 disabled=noset mms disabled=noset gre disabled=noset pptp disabled=no# + MMS值+# 对于光纤填认的没多大关系，但对于ADSL最好如果某些网页打不开，可以修改一下. /ip firewall mangleadd chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1440。

MikroTik RouterOS安装及注册图解一、通过下载光盘镜像文件，并制作成启动安装光盘。

二、将光盘放入光驱中，并将电脑的BIOS启动设置为光驱引导。

三、当光驱引导完成后，在屏幕上会出现如下显示：上面是进入RouterOS的安装功能选择操作，从图中可以看到RouterOS的各个功能选择，图中前三排英文提示为，移去所有功能选项按“p”或“n”键，选择一个功能选项用“空格”键，选择所有功能则按“a”键，最小安装按“m”，按“i”键则是本地安装，“r”是安装远程的路由器，“ｑ是取消安装并重启。

四、选择功能，如在安装L4以上级别，推荐安装功能如下：五、选择好功能组件后，即可按“i”键进行安装，此时会提示“硬盘上的所有数据都会被删除，否继续”选择“y”继续，如果是“n”键安装会停止，并会重启。

选择“y”继续后，会提示是否持以前的配置，这是升级安装，并想保留以前路由器的设置参数，选择“y”，如果是不想保留则择“n”。

(全新安装则选择“n”）六、选择完后RouterOS开始安装七、安装完后RouterOS提示按“回车”键，并重启。

八、安装完后，进入系统会提示输入注册码，如下图：九、在进入系统后，会有24小时的使用时间，“Software ID”表示的是ROS的ID号，如上图所为：KRYH-I8N 通过此ID号申请注册码。

因为注册码比较长所以需要使用winbox进行操作，更为便和直观。

十、首先将Winbox下载到可以与RouterOS相连接的Windows电脑上，然后双击打开，如图：十一、在没有设置IP地址前使用MAC地址登录，点击winbox中扫描按钮，选择需要登录的ROS，默认的帐号为“admin”，密码为空；按回车或者点击“connect”进行登录。

十二、当您获得注册码后，请通过复制注册码的所有信息，进入Winbox中的system >> license项，点击paste key选项粘贴注册码。

Mikrotikros软路由中⽂版使⽤图⽂教程MikroTik RouterOS是⼀种路由操作系统，并通过该软件将标准的PC电脑变成专业路由器，新云软件园⼩编在本⽂详细介绍了Mikrotik ros 软路由设置教程提供给⼤家参考。

MikroTik RouterOS 脚本⽣成器 V2.8 中⽂综合版类型：系统其它⼤⼩：6.74MB语⾔：简体中⽂时间：2018-06-14查看详情Winbox 基于windows下远程管理ROS的软件 v3.31 绿⾊版类型：远程控制⼤⼩：1.10MB语⾔：英⽂软件时间：2021-09-18查看详情winbox下调试根据你所设的局域⽹IP。

输⼊(我的是192.168.1.1) 下载winbox得到如下图：输⼊管理员⽤户admin，默认密码为空，如图：第⼀项：interfaces。

这⾥可以更改你的⽹卡名称，查看个内外⽹总体查看外⽹流量如图：（选择⽹卡名称第四项traffic）第⼆项，IP由于你已经填写好了内外⽹的IP，所以IP Addresses⾥⽆须再管了。

注意事项，外⽹掩码请仔细询问你当地的电信或者⽹通部门2、ip routes，这⾥是更改你所⾛的⽹关⽤的，如图3、IP pool（不管他）4、IP arp（这⾥是⽹卡mac地址与ip地址绑定，我是绑定了），具体操作，双击前⾯带D（代表未arp绑定）的IP地址，点tools选择copy，点OK，哈哈，前⾯的D就没啦，恭喜你绑定成功。

5、IP vrrp（不管他）6、IP firewall(重点哦)到这⾥了，是不是还拼不通外⽹啊，哈哈，没有IP伪装啊，当然上不了啊。

IP—firewall—source，点加号加⼀条规则，第⼀项⾥⾯填你的设置的内⽹⽹段，不是⽹关哦，后⾯跟24，不是32哦。

切记！如图能上⽹了吧，这时候你的软路由⾮常脆弱，所以，我们来给他增“墙”，本⽂核⼼，防⽕墙配置。

input 设置图：⼀些重要的端⼝改变图：为什么要改变端⼝，⽤途很明显，默认的⼤家都知道，⽽你所改的呢？只有你⾃⼰知道，哈哈，这就是效果！看到没？⽐如telnet啊，winbox啊，upnp，http（这⾥是指访问你的路由的http端⼝哦）。

MikroTik RouterOS软路由上网配置教程作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络，也可以说，路由器构成了Internet的骨架。

很多朋友咨询MikroTik RouterOS软路由上网怎么配置，今天小编就为大家整理了MikroTik RouterOS软路由上网配置教程，一起看看吧ROS软路由上网配置教程：一般拿到了RouterOS软路由，肯定要做的事情就是使用它来上网。

以 RouterBOARD 750(下面简称 RB750)为例配置简单的上网教程系统版本5.25;RB750的接口数量：5口拿到ROS设备后的简单的上网配置步骤：1.通电，测试接口状态(每个口插上网线指示灯正常);2.复位设备：让设备无任何默认配置(通过winbox 登录设备后复位，也有其他方式);3.配置外网的连接方式 (pppoe 拨号或是专线);4.配置内网网关I P;5.DNS配置6.DHCP配置;7.路由配置;8.NAT配置;9.系统时间配置;10.系统备份首先我们做下简单的规划：1口不使用(因为很多1口是POE供电口，有时候拿来供电，我就不喜欢用)2口做外网口，3-5口做内网口内网网关：192.168.1.254/24内网DHCP地址段：192.168.1.100-192.168.1.200DNS地址：61.139.2.69 8.8.8.8配置步骤：1.通电，测试接口状态(每个口插上网线指示灯正常);用网线插到ROS设备的每个接口上，另一头插到交换机或者电脑上面，看看接口灯是否能正常，在电脑上用winbox登录，是否能够登录;2.复位设备：让设备无任何默认配置(通过winbox登录设备后复位，也有其他方式);Winbox复位设备：用winbox登录到ROS上后，按以下图1方式操作，操作成功后ROS会重启。

3.配置外网的连接方式( pppoe拨号或是专线);专线的话就直接添加你申请到的 I P地址到2口上拨号连接4. 配置内网网关IP3-5口作为内网口，我们添加到一个bridge上，这样不管你使用那个口都可配置bridge1的IP地址为192.168.1.254/245.DNS配置配置DNS地址为61.139.2.69 8.8.8.6.DHCP配内网网段为192.168.1.100-192.168.1.2007.路由配置;添加默认路由为拨号口18.NAT配置;配置一个全局伪装，9.系统时间配置10.系统备份配置完了我们把系统备份下，方便以后恢复(1)全局备份，所有的配置都在里面，包括ROS登录帐号密码和系统的配置，(2)配置条目备份，只有配置相关信息，相关阅读：路由器安全特性关键点由于路由器是网络中比较关键的设备，针对网络存在的各种安全隐患，路由器必须具有如下的安全特性：(1)可靠性与线路安全可靠性要求是针对故障恢复和负载能力而提出来的。