[研究所] MikroTik RouterOS 學習 (持續更新)

gfx

1598分

8211樓

gfx

個人積分：1598分

文章編號：86883965

yuusuke wrote:

是mangle-routing-mark + policy routing rule的組合：
點我看大圖

匹配用的是布林運算的AND閘：
如果規則中mangle-routing-mark的src-address=192.168.88.100，
policy routing rule的interface=lan(192.168.88.0/24)，
最後policy routing的src-address觸發的只會有192.168.88.100

同樣若policy routing rule的src-address=192.168.88.200/32，
mangle-routing-mark的in-interface=lan(192.168.88.0/24)，
最後policy routing的src-address觸發的只會有192.168.88.200

若mangle-routing-mark的src-address=192.168.88.100，
policy routing rule的src-address=192.168.88.0/24，
最後policy routing的src-address觸發的只會有192.168.88.100

同樣若policy routing rule的src-address=192.168.88.200/32，
mangle-routing-mark的src-address=192.168.88.0/24，
最後policy routing的src-address觸發的只會有192.168.88.200

若mangle-routing-mark的src-address=192.168.88.100，
policy routing rule的interface=lan2(192.168.89.0/24)，
這樣policy routing便會無法匹配，不作用！

同樣若policy routing rule的src-address=192.168.88.200/32，
mangle-routing-mark的in-interface=lan(192.168.89.0/24)，
同樣policy routing無法匹配，不作用！

若mangle-routing-mark的src-address=192.168.88.100，
policy routing rule的src-address=192.168.89.0/24，
這樣policy routing便會無法匹配，不作用！

同樣若policy routing rule的src-address=192.168.88.200/32，
mangle-routing-mark的src-address=192.168.89.0/24，
同樣policy routing無法匹配，不作用！

這嘛設置fasttrack沒毛病，完全合法。

jy

364分

8212樓

jy

個人積分：364分

文章編號：86886773

最近要替換公司的路由
想說就換ROUTEROS比較穩定

可是我忽略的他的設定 (真得很複雜)

只好來求救...

以下是我目前測試的環境

目標
1.將內網多個網段分流
2.特定內網單向連接
DHCP1 > DHCP2
> DHCP3
目前以完成多網段，分流(使用靜態路由達成)
但是只用靜態路由內網就無法互通
我有找到一篇用靜態路由讓內網通的文章，但是我設定起來無效...
https://wiki.edcwifi.com/index.php?title=RouterOS_%E6%BA%90%E5%9C%B0%E5%9D%80%E7%AD%96%E7%95%A5%E8%B7%AF%E7%94%B1

不知道哪裡有錯
後續還有一些要設定(VLAN、DNS Server、防火牆、轉PORT)
如果全部用好後，我會發篇教學給需要的人參考

點我看大圖

AKSN74

1650分

8213樓

AKSN74

個人積分：1650分

文章編號：86887527

jy wrote:
最近要替換公司的路由...(恕刪)

這正常，因為對於DHCP3的Mark Routing部分，看起來沒有把DHCP1跟DHCP2的網段給排除掉
所以連同要走這段的都被導向到直接走WAN2出去了
所以DHCP3的Mark Routing規則要把DHCP1跟DHCP2的也列為排除清單
這個在您貼的那篇教學文下面一點有說明。

另外還有一種做法，如果確定WAN2只給DHCP3使用，可嘗試看看以下做法

1. 到Routing > Tables新增一個Table，名稱自訂
2. 到Routing > Rules，新增兩筆dst addresses分別為192.168.10.0/24和192.168.20.0/24的規則，Action跟Table不變
3. 再新增一筆規則，這次Src addresses設為192.168.100.0/24的Gateway(記得後面還是要加"/24")、dst addresses不設、Action不變、Table改成第一點新增的Table名稱
4. 最後到IP > Routes，修改WAN2的那筆靜態路由，把Routing Mark拿掉，Routing Table改成第一點新增的Table名稱

不過這個方法要比較新的RouterOS版本才有，看你的介面似乎還是舊版，沒有Routing Table可以選

jy

364分

8214樓

jy

個人積分：364分

文章編號：86908441

有無推薦的防火牆設置
預設防火牆規則是空的

因為不熟，所以想用基礎的防火牆規格
除了第一則裡面的推薦

/ ip firewall filter
add chain=input connection-state=established comment="Accept established connections"
add chain=input connection-state=related comment="Accept related connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings"
add chain=input protocol=icmp action=drop comment="Drop excess pings"
add chain=input in-interface=ether2 src-address=192.168.0.0/24 comment="From our LAN" action=accept
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else"
add chain=input action=drop comment="Drop everything else"

感謝

目前我還找不到如何讓靜態路由內網互通的方式
不知道哪個大大支到哪邊有範例可以參考多WAN，多DHCP ，DHCP單向訪問的範例......

gfx

1598分

8215樓

gfx

個人積分：1598分

文章編號：86909007

jy wrote:
有無推薦的防火牆設置...(恕刪)

防火牆：

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes in-interface=pppoe-out1 ipsec-policy=out,none
add action=accept chain=input dst-port=1723,443,1194 protocol=tcp
add action=accept chain=input dst-port=1701,500,4500,protocol=udp
add action=drop chain=input connection-state=invalid,new in-interface=pppoe-out1 ipsec-policy=in,none protocol=icmp src-address-type=!local
add action=drop chain=input connection-state=invalid,new in-interface=pppoe-out1 ipsec-policy=in,none protocol=tcp src-address-type=!local
add action=drop chain=input connection-state=invalid,new in-interface=pppoe-out1 ipsec-policy=in,none protocol=udp src-address-type=!local

靜態路由端除非您兩端的Router有一端非RouterOS，不然請參考AK兄的ospf教程。
https://www.mobile01.com/topicdetail.php?f=110&t=6702142

就算非wireguard，而是l2tp或pptp或ovpn之類的vpn建site to site也沒差，替換上即可。
讓ospf自動幫您把靜態路由完成，手動慢慢加太辛苦了，也易出差錯

jy

364分

8216樓

jy

個人積分：364分

文章編號：86910901

感謝提供防火牆訊息。

靜態路由並非是VPN要設，而是我環境有2的WAN(固定IP)，內部有4個網段需要設定哪個網段跑哪個WAN，目前我是用IP→firewall→ Mangle & IP→Route 來達成

但是這樣設就會造成4個內網不通
使用與管理會有很麻煩
單向通
DHCP1 < DHCP3
DHCP2 < DHCP3
雙向通
DHCP4 <> DHCP3

WAN1 - DHCP1
WAN2 - DHCP2
DHCP3
DHCP4
哪個大大知道哪裡有此種網路設定範例可以參考?
(資料大部分都是英文的，不知道要下甚麼關鍵字找)

如果不使用IP→Route 來達成，有辦法設定想要的設定分流嗎?

gfx wrote:
防火牆：/ip firewall...(恕刪)

AKSN74

1650分

8217樓

AKSN74

個人積分：1650分

文章編號：86911083

jy wrote:
感謝提供防火牆訊息。...(恕刪)

我在上面回應的沒辦法嗎？

這樣的策略路由都是需要去動到IP > Route的設定
gfx大大上面說的其實也是我一開始提到的方式，只差在不需要用到OSPF以及VPN
但還是如我說的，要使用到Routing Rules這種方式還是建議先更新RouterOS到最新版本

否就是看要不要遠端協助

gfx

1598分

8218樓

gfx

個人積分：1598分

文章編號：86911917

jy wrote:
感謝提供防火牆訊息。...(恕刪)

大概懂了，4個網段全同在同一台router。
同router區網互通根本不需要設靜態路由，完全是您標記的瑕疵。

/ip firewall mangle
add action=accept chain=prerouting comment=local dst-address=192.168.0.0/16 src-address=192.168.0.0/16
add action=accept chain=prerouting dst-address-type=local src-address=192.168.0.0/16

匯入後，這兩行規則拉到mangle最上方置頂

jy

364分

8219樓

jy

個人積分：364分

文章編號：86915621

問一下提外話
請問
下圖那樣的留言要怎麼打.....

gfx

[code]...內文...[/code]

2023-02-21 19:03

leonchiou1978

60分

8220樓

leonchiou1978

個人積分：60分

文章編號：86915632

gfx大大你好
各位大大好
現在如果想要從外面用web方式登入AC66+
是要用port forwarding
我嘗試了
然後也參考 https://kingtam.win/archives/hairpin.html 設定了NAT Loopback
還是無法搞定
（是不是因為wan是pppoe原因？）

來自於～基度山小島～

gfx

在命令窗輸入/ip firewall nat export ，將匯出的內容貼出來我才能給出較佳的建議

2023-02-22 10:14

[研究所] MikroTik RouterOS 學習 (持續更新)

小惡魔新聞台

小惡魔廣編特輯

[研究所] MikroTik RouterOS 學習 (持續更新)

小惡魔新聞台

小惡魔廣編特輯

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！