Chiphell - 分享与交流用户体验

标题: PVE下RouterOS的安装与设置分享 [打印本页]
作者: aitkots    时间: 2022-8-17 15:31
标题: PVE下RouterOS的安装与设置分享
本帖最后由 aitkots 于 2022-12-26 11:46 编辑

一直在用 PVE + RouterOS + Adguard Home 的软路由配置组合。

随手记录了下 RouterOS 的安装以及基本配置方法,分享在了 Gitee 上 :RouterOS_Toss_Notes

包含以下内容:

0.PVE下RouterOS安装
1.定义网络接口和基础配置
2.配置防火墙和流量整形(近期更新了防火墙设置,以及使用 Simple Queues 和 Queue Tree)
3.RouterOS正版系统激活
4.系统参数调整
5.系统自动化及邮件脚本
6.RouterOS使用内网DNS服务器
7.DHCP静态地址和Options配置
8.使用附加硬盘记录系统日志
9.RouterOS配置IPv6

很高兴能与喜欢折腾RouterOS的小伙伴进行讨论,如果文章中有错误的内容,欢迎大佬指点一二

PS:
近期更新:
作者: lancolor    时间: 2022-8-17 15:32
你ROS做了分流吗?一直想找个好用的分流教程找不到 哎
作者: aitkots    时间: 2022-8-17 15:34
lancolor 发表于 2022-8-17 15:32
你ROS做了分流吗?一直想找个好用的分流教程找不到 哎

我只有单个宽带,没有分流呀
作者: lancolor    时间: 2022-8-17 15:35
aitkots 发表于 2022-8-17 15:34
我只有单个宽带,没有分流呀

我的意思是国内IP走ROS 国外IP走OP旁路由这种分流呀
作者: aitkots    时间: 2022-8-17 15:37
lancolor 发表于 2022-8-17 15:35
我的意思是国内IP走ROS 国外IP走OP旁路由这种分流呀

这种我都是用DHCP的指定网关的功能来实现的,我Routeros下还有个旁路由OP
作者: aitkots    时间: 2022-8-17 15:40
lancolor 发表于 2022-8-17 15:35
我的意思是国内IP走ROS 国外IP走OP旁路由这种分流呀

因为考虑到不是所有的内网设备都有访问国外ip的场景,如果在RouterOS上做分流,必然造成额外的判断,增高了延迟。
作者: lancolor    时间: 2022-8-17 15:41
aitkots 发表于 2022-8-17 15:40
因为考虑到不是所有的内网设备都有访问国外ip的场景,如果在RouterOS上做分流,必然造成额外的判断,增高 ...

好吧 我再去研究下那个分流 哈哈 谢了
作者: tenl    时间: 2022-8-17 16:27
谢谢分享,学习一下,一直用ros,关键是稳定,不用操心。
作者: Joe_Li    时间: 2022-8-17 17:25
观摩观摩,学习学习
作者: arieslo    时间: 2022-8-18 10:49
ROS是个好系统,但易学难深。。。需要花不少精力时间去学习。。
作者: 再也不对喷    时间: 2022-8-18 10:58
esxi7.0装ros的vmdk直接不能启动,需要在拿工具在转换一次才能使用就离谱,不知道是esxi还是ros的问题
作者: litccc    时间: 2022-8-18 10:59
话说ros支持i225v么?
作者: dominicchen    时间: 2022-8-18 11:49
学习一下,我还没跑旁路由
作者: eezz    时间: 2022-8-18 15:10
lancolor 发表于 2022-8-17 15:32
你ROS做了分流吗?一直想找个好用的分流教程找不到 哎

我过几天会发表一个教程
作者: kkrace    时间: 2022-8-18 15:14
litccc 发表于 2022-8-18 10:59
话说ros支持i225v么?

直通不支持。虚拟出来可以。这个是最大的问题
作者: lancolor    时间: 2022-8-18 16:44
eezz 发表于 2022-8-18 15:10
我过几天会发表一个教程

好样的 棒棒的 就等这个了
作者: mescal    时间: 2022-8-18 16:51
eezz 发表于 2022-8-18 15:10
我过几天会发表一个教程

期待你的大作,早点发表哦
作者: aitkots    时间: 2022-8-20 16:43
再也不对喷 发表于 2022-8-18 10:58
esxi7.0装ros的vmdk直接不能启动,需要在拿工具在转换一次才能使用就离谱,不知道是esxi还是ros的问题 ...

ESXi 下面的 VMDK 和 VMware 的 VMDK 雀食有些不同。
作者: aitkots    时间: 2022-8-20 16:44
kkrace 发表于 2022-8-18 15:14
直通不支持。虚拟出来可以。这个是最大的问题

其实用 VirtIO 的网卡还好,也能跑到 9G 以上的速度
作者: aitkots    时间: 2022-8-20 16:45
litccc 发表于 2022-8-18 10:59
话说ros支持i225v么?

用 VirtIO 网卡就好了,影响不大,
作者: aitkots    时间: 2022-8-20 16:53
最近发现 RouterOS 使用 PVE 的 q35 机型,偶尔会报错 “do IRQ: 0.44 no irq handler for vector”,换回老的 i440fx 就好了。感觉还是驱动不稳定。
作者: aitkots    时间: 2022-8-20 16:56
arieslo 发表于 2022-8-18 10:49
ROS是个好系统,但易学难深。。。需要花不少精力时间去学习。。

我第一次折腾ROS时候差不多弄了一个多星期。。
作者: hyes    时间: 2022-8-20 18:03
支持大佬
作者: 6000lq    时间: 2022-8-22 14:36
支持大佬
作者: aitkots    时间: 2022-8-22 16:02
hyes 发表于 2022-8-20 18:03
支持大佬

感谢支持
作者: aitkots    时间: 2022-8-22 16:03
6000lq 发表于 2022-8-22 14:36
支持大佬

感谢支持
作者: 305267382    时间: 2022-8-22 16:16
支持大佬 已收藏
作者: 6000lq    时间: 2022-8-22 17:20
大佬有没有ROS+OP的设置方法?有时候还是要科学一下
作者: alsa    时间: 2022-8-23 13:30
请问有没有ROS下面端口映射方面的内容?
作者: sanquans    时间: 2022-8-23 15:09
回去就抄作业
作者: kerafyrm    时间: 2022-8-23 16:01
感谢分享,很实用。
邮件提醒能改成微信推送就更好了,类似pushplus
作者: aitkots    时间: 2022-8-27 04:53
kerafyrm 发表于 2022-8-23 16:01
感谢分享,很实用。
邮件提醒能改成微信推送就更好了,类似pushplus

微信貌似没有Robot呀
作者: kerafyrm    时间: 2022-8-27 12:30
aitkots 发表于 2022-8-27 04:53
微信貌似没有Robot呀

有带推送功能的公众号啊
作者: leviz    时间: 2022-8-29 16:58
6000lq 发表于 2022-8-22 17:20
大佬有没有ROS+OP的设置方法?有时候还是要科学一下

ros做主路由不需要任何额外设置,op做旁路由也就设置下ros的ip作为网关和dns,其他op设置参考常规op配置即可。

拜读大佬作业
作者: aitkots    时间: 2022-8-31 02:19
leviz 发表于 2022-8-29 16:58
ros做主路由不需要任何额外设置,op做旁路由也就设置下ros的ip作为网关和dns,其他op设置参考常规op配置 ...

总共分为以下几个步骤:
1、修改LAN接口设置:指定IP地址为静态IP,网关和DNS为主路由地址。不用IPv6的话关闭IPv6,关闭内置IPv6管理。
2、关闭IPv4和IPv6的DHCP服务。
3、DHCP/DNS 高级设置中禁用IPv6地址解析,其他随意。
4、防火墙设置,如果开启了“丢弃无效数据包”,则必须在区域设置中勾选“LAN的IP动态伪装”。
作者: aitkots    时间: 2022-8-31 02:20
6000lq 发表于 2022-8-22 17:20
大佬有没有ROS+OP的设置方法?有时候还是要科学一下

总共分为以下几个步骤:
1、修改LAN接口设置:指定IP地址为静态IP,网关和DNS为主路由地址。不用IPv6的话关闭IPv6,关闭内置IPv6管理。
2、关闭IPv4和IPv6的DHCP服务。
3、DHCP/DNS 高级设置中禁用IPv6地址解析,其他随意。
4、防火墙设置,如果开启了“丢弃无效数据包”,则必须在区域设置中勾选“LAN的IP动态伪装”。
作者: spiral    时间: 2022-9-30 20:56
Mark,整理的不错,我自己到处记笔记,时间久了就想不起来记哪里了。
作者: aitkots    时间: 2022-9-30 22:53
spiral 发表于 2022-9-30 20:56
Mark,整理的不错,我自己到处记笔记,时间久了就想不起来记哪里了。

我记笔记都用的 Obsidian
作者: spiral    时间: 2022-10-13 10:14
aitkots 发表于 2022-9-30 22:53
我记笔记都用的 Obsidian

我有些使用notion,有的使用Joplin,还有的是纯txt、md文本文件各种目录里,然后就凌乱了。Obsidian 安装在手机里吃灰好久了。
作者: summerq    时间: 2022-10-13 12:22
您好 请教一下 ros是否支持x710 vf?也就是iavf的驱动?谢谢
作者: 老饭    时间: 2022-10-13 13:50
再也不对喷 发表于 2022-8-18 10:58
esxi7.0装ros的vmdk直接不能启动,需要在拿工具在转换一次才能使用就离谱,不知道是esxi还是ros的问题 ...

用ova啊
作者: normanlu    时间: 2022-10-13 16:38
summerq 发表于 2022-10-13 12:22
您好 请教一下 ros是否支持x710 vf?也就是iavf的驱动?谢谢


不仅x710 vf不支持,连x710直通口都支持不好,重启routeros,会显示网口no link,物理拔插一下才行。
作者: netluck    时间: 2022-11-26 18:52
感谢楼主提供教程,先照抄一遍,有问题再请教,谢谢
作者: zhanghaobaohu    时间: 2022-11-26 22:26

支持大佬 已收藏
作者: liuleisail    时间: 2022-11-28 08:56
本帖最后由 liuleisail 于 2022-11-28 10:28 编辑
lancolor 发表于 2022-8-17 15:32
你ROS做了分流吗?一直想找个好用的分流教程找不到 哎


网上一堆教程吧。
包括op旁路、wg、eoip、gre、ipip。

第一个需要飞机场,后边的一般需要有服务器,通过ros自己就搞定了。

我用wg,还行,就是好的服务器要看你自己网络的情况。当然,不过墙的大贵贵,肯定好。

作者: liuleisail    时间: 2022-11-28 08:56
alsa 发表于 2022-8-23 13:30
请问有没有ROS下面端口映射方面的内容?

什么值得买上就有。
作者: alsa    时间: 2022-11-28 09:48
liuleisail 发表于 2022-11-28 08:56
什么值得买上就有。

好像有两种方式,第二种跑脚本的,是做DDNS 吗?如果ddns不在ROS 上面做,在内网其它设备上运行,是不是就不需要另外跑脚本了?
作者: liuleisail    时间: 2022-11-28 10:25
本帖最后由 liuleisail 于 2022-11-28 10:27 编辑
alsa 发表于 2022-11-28 09:48
好像有两种方式,第二种跑脚本的,是做DDNS 吗?如果ddns不在ROS 上面做,在内网其它设备上运行,是不是 ...


开启ros自带的ddns,然后绑定在第三方上就ok,这就不用在ros上用脚本更新第三方ddns了,很方便。
作者: liuleisail    时间: 2022-11-28 10:29
楼主大佬,也是学习了。

我这边因为用ros自建smartdns做dns,旁路是op,ipv6一直通不过测试,不知道为啥……之前也折腾过也不行。
作者: aitkots    时间: 2022-11-28 13:27
liuleisail 发表于 2022-11-28 10:29
楼主大佬,也是学习了。

我这边因为用ros自建smartdns做dns,旁路是op,ipv6一直通不过测试,不知道为啥… ...

你的ipv6测试是哪一步没有过,测试页面右侧有个测试的详细项目,可以看到是哪一项没过。
作者: lonley    时间: 2022-11-28 13:55
aitkots 发表于 2022-8-17 15:37
这种我都是用DHCP的指定网关的功能来实现的,我Routeros下还有个旁路由OP

OP 指定IP分流的话,能不能针对下载软件来,我下载出现了走机场通道慢很多
作者: liuleisail    时间: 2022-11-28 14:06
aitkots 发表于 2022-11-28 13:27
你的ipv6测试是哪一步没有过,测试页面右侧有个测试的详细项目,可以看到是哪一项没过。

只要ipv6项目都不过。ros中的smartdns做dns分流,国外直接走旁路op。按照你说明做的,没做防火墙之前就不行…之前折腾过好几次了
作者: liuleisail    时间: 2022-11-28 14:07
lonley 发表于 2022-11-28 13:55
OP 指定IP分流的话,能不能针对下载软件来,我下载出现了走机场通道慢很多

是根据域名或者ip来的。
作者: aitkots    时间: 2022-11-28 14:07
lonley 发表于 2022-11-28 13:55
OP 指定IP分流的话,能不能针对下载软件来,我下载出现了走机场通道慢很多 ...

你用的是全局模式吧,根据策略试试
作者: aitkots    时间: 2022-11-28 14:09
liuleisail 发表于 2022-11-28 14:06
只要ipv6项目都不过。ros中的smartdns做dns分流,国外直接走旁路op。按照你说明做的,没做防火墙之前就不 ...

首先得看你的smartdns是否正确的拿到了ipv6,然后我当前的ipv6防火墙里面有nat66。不过要定位你的问题,还是得看看你的截图啥的,比如你是否获取了运营商的前缀,内网设备有没有获得ula地址,能否ping通公网ipv6地址,比如阿里的dns 2400:3200::1 这种。
作者: lonley    时间: 2022-11-28 15:11
aitkots 发表于 2022-11-28 14:07
你用的是全局模式吧,根据策略试试

应该是,有参考设置吗?刚玩OP 还不是很懂
作者: aitkots    时间: 2022-11-28 17:33
lonley 发表于 2022-11-28 15:11
应该是,有参考设置吗?刚玩OP 还不是很懂

这个不是op的设置,是那个Kitty的设置
作者: coolbo    时间: 2022-12-4 10:18
1. 教程里面ipv6为啥是给bridge分配v6地址呢?如果按照v4的使用方式应该是给pppoe接口分配v6地址

2. 经过我的测试居然给bridge分配v6然后再伪装确实是可以成功的,但是有个疑问是bridge属于lan口,伪装是给wan口伪装的为啥能正常伪装到外网v6地址能?

3. 给pppoe接口分配v6地址当然也是能成功的,这也符合v4得使用方式
作者: aitkots    时间: 2022-12-4 19:31
coolbo 发表于 2022-12-4 10:18
1. 教程里面ipv6为啥是给bridge分配v6地址呢?如果按照v4的使用方式应该是给pppoe接口分配v6地址

2. 经过 ...

1、v6的使用方式和v4的使用方式不同,查看RouterOS的官方文档以及论坛,还有ipv6的RFC,均没有说明需要给pppoe接口分配IPv6地址的必要。

2、我的那些文档也是给bridge接口分配了IPv6地址,但是并未让GUA前缀分发到内网,因为目前RouterOS在IPv6动态前缀上的处理还有问题,估计RouterOS 7.7 版本会有所改善,所以目前使用的是NAT66的方式让内网设备上网。

3、IPv6其实不需要NAT,所以说我的那些文档只是变通的方法。而且不论是否使用NAT66,均不会使用到PPPoE接口上的IPv6地址。只需要Bridge接口上有IPv6地址,路由器的路由正确即可

作者: coolbo    时间: 2022-12-5 09:04
aitkots 发表于 2022-12-4 19:31
1、v6的使用方式和v4的使用方式不同,查看RouterOS的官方文档以及论坛,还有ipv6的RFC,均没有说明需要给 ...

但问题是这句
add action=masquerade chain=srcnat comment="defconf: masquerade IPv6" out-interface-list=WAN

是在wan口上做伪装的,bridge属于lan口,wan口没有公网ipv6地址,比较疑问是怎么实现的伪装呢
作者: coolbo    时间: 2022-12-5 09:08
aitkots 发表于 2022-12-4 19:31
1、v6的使用方式和v4的使用方式不同,查看RouterOS的官方文档以及论坛,还有ipv6的RFC,均没有说明需要给 ...

第一点我是理解的,路由器有一个公网ipv6地址就可以了,路由器本身就可以被外部访问了,加在bridge上又可以向下宣告
作者: coolbo    时间: 2022-12-5 09:11
最大的疑惑应该就是masquerade的实现原理了,正常我理解是取出去经过的wan口ip作为源地址的,目前看它使用了路由器的ip地址,但是为何久偏偏选择了bridge的ip呢?ros特殊处理?
作者: Rothschildkin    时间: 2022-12-5 09:45
hyperv能虚拟吗,宿主机是win,只有hyperv
作者: aitkots    时间: 2022-12-5 11:27
coolbo 发表于 2022-12-5 09:04
但问题是这句
add action=masquerade chain=srcnat comment="defconf: masquerade IPv6" out-interface-l ...

看下这个:https://help.mikrotik.com/docs/d ... et+Flow+in+RouterOS
还有这个:https://doc.opensuse.org/documen ... urity.firewall.html


In the simplest case, an incoming packet destined for the system itself arrives at the eth0 interface.

The packet is first referred to the PREROUTING chain of the mangle table then to the PREROUTING chain of the nat table.

The following step, concerning the routing of the packet, determines that the actual target of the packet is a process of the system itself.

After passing the INPUT chains of the mangle and the filter table, the packet finally reaches its target, provided that the rules of the filter table allow this.

(, 下载次数: 90)

Masquerading is the Linux-specific form of NAT (network address translation) and can be used to connect a small LAN with the Internet. LAN hosts use IP addresses from the private range and on the Internet official IP addresses are used.

To be able to connect to the Internet, a LAN host's private address is translated to an official one.

This is done on the router, which acts as the gateway between the LAN and the Internet.

The underlying principle is a simple one: The router has more than one network interface, typically a network card and a separate interface connecting with the Internet.

While the latter links the router with the outside world, one or several others link it with the LAN hosts. With these hosts in the local network connected to the network card (such as eth0) of the router, they can send any packets not destined for the local network to their default gateway or router.

As mentioned, whenever one of the LAN hosts sends a packet destined for an Internet address, it goes to the default router.
作者: aitkots    时间: 2022-12-5 11:31
coolbo 发表于 2022-12-5 09:11
最大的疑惑应该就是masquerade的实现原理了,正常我理解是取出去经过的wan口ip作为源地址的,目前看它使用 ...

这个问题我之前也疑惑过,不过看了数据包在各个路由表中的流动规则就很容易理解了。

简单来说一个来自内网的数据包,路由器看到这个包的目标地址在外网,需要走wan口,就会进行snat或者masquerade,数据包在进入LAN侧时,该行为就已经发生。
作者: aitkots    时间: 2022-12-5 11:35
Rothschildkin 发表于 2022-12-5 09:45
hyperv能虚拟吗,宿主机是win,只有hyperv

更具官方文档,Hyper-V是可以虚拟RouterOS的,但是有些设置上的要求。
具体看这里:https://wiki.mikrotik.com/wiki/Manual:CHR_Hyper-V_installation
作者: Rothschildkin    时间: 2022-12-5 12:34
aitkots 发表于 2022-12-5 11:35
更具官方文档,Hyper-V是可以虚拟RouterOS的,但是有些设置上的要求。
具体看这里:https://wiki.mikroti ...

看上去安装没问题了,就是ros没玩过,需要重头来
作者: coolbo    时间: 2022-12-5 12:52
aitkots 发表于 2022-12-5 11:31
这个问题我之前也疑惑过,不过看了数据包在各个路由表中的流动规则就很容易理解了。

简单来说一个来自内 ...

确实是的,本以为这句防不住外网进入的数据包,因为ip在bridge上属于lan口,但是其实是生效的

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
作者: aitkots    时间: 2022-12-5 14:27
coolbo 发表于 2022-12-5 12:52
确实是的,本以为这句防不住外网进入的数据包,因为ip在bridge上属于lan口,但是其实是生效的

add actio ...

这行规则之前的数据包还是能进入lan的,所以要放开啥端口时,规则需要加在这行的前面。
作者: aitkots    时间: 2022-12-5 14:28
Rothschildkin 发表于 2022-12-5 12:34
看上去安装没问题了,就是ros没玩过,需要重头来

我也用过Hyper-V、ESXi,最终还是回到了PVE的怀抱
作者: Rothschildkin    时间: 2022-12-5 14:40
aitkots 发表于 2022-12-5 14:28
我也用过Hyper-V、ESXi,最终还是回到了PVE的怀抱

底层不动拉,只有软路由可以折腾下
作者: aitkots    时间: 2022-12-5 16:31
Rothschildkin 发表于 2022-12-5 14:40
底层不动拉,只有软路由可以折腾下

你是不是用了N5105/N6005?
作者: Rothschildkin    时间: 2022-12-5 17:05
aitkots 发表于 2022-12-5 16:31
你是不是用了N5105/N6005?

ms04自建的win服务器
作者: 再也不对喷    时间: 2022-12-24 09:22
win11 网卡取消勾选IPV4,只保留IPV6,网站打不开(ipv6.baidu.com),就淘宝能打开,但是很多图片不显示,感觉是DNS问题,大佬能远程帮忙看看吗
作者: aitkots    时间: 2022-12-25 13:34
再也不对喷 发表于 2022-12-24 09:22
win11 网卡取消勾选IPV4,只保留IPV6,网站打不开(ipv6.baidu.com),就淘宝能打开,但是很多图片不显示, ...


这看着不像是dns的问题,现在大部分知名的公共dns都能ipv4/ipv6双栈解析。
很多图片不显示,应该是这些图片只有ipv4的链接或者cdn。
国内现在还不能很好的ipv6单栈访问的啊。
作者: 再也不对喷    时间: 2022-12-25 15:39
本帖最后由 再也不对喷 于 2022-12-25 15:40 编辑
aitkots 发表于 2022-12-25 13:34
这看着不像是dns的问题,现在大部分知名的公共dns都能ipv4/ipv6双栈解析。
很多图片不显示,应该 ...


那我访问纯IPV6网站也不行??访问纯IPV6网站直接无法显示该网页,大佬能远程帮看看不
作者: Vampire_KILLer    时间: 2022-12-25 16:05
不明觉厉

只是有个疑问RouterOS的学习成本也不低,如果为了学习——为啥不整个商业化应用的系统进行相关学习

据我所知cisco、F5、Juniper都有虚拟化的产品,在exsi上

面试的时候,使用过RouterOS和使用过NexusOS,在网络方面来说区别还是挺大的

好多年前,零几年吧,有个外包的小弟就天天整RouterOS,我就问他这有啥用,跟我讲了一遍,我反手就甩了个思科的模拟器给他,让他试试看有啥IOS不能实现的。小伙儿挺钻研的,年底还是第二年就去香港过了IE,然后就跑去华为了
作者: aitkots    时间: 2022-12-25 18:23
再也不对喷 发表于 2022-12-25 15:39
那我访问纯IPV6网站也不行??访问纯IPV6网站直接无法显示该网页,大佬能远程帮看看不 ...

可能是tcp的mss问题,加条防火墙配置就行了
话说,你用的啥路由器啥系统?
作者: aitkots    时间: 2022-12-25 18:25
Vampire_KILLer 发表于 2022-12-25 16:05
不明觉厉

只是有个疑问RouterOS的学习成本也不低,如果为了学习——为啥不整个商业化应用的系统进行相关学 ...

专门搞这个,还拿来面试的同学,不是我这种业余爱好自己折腾的能比的呀。
作者: 再也不对喷    时间: 2022-12-25 18:38
aitkots 发表于 2022-12-25 18:23
可能是tcp的mss问题,加条防火墙配置就行了
话说,你用的啥路由器啥系统? ...

esxi+ros啊,所以叫大佬帮看看啥情况
作者: aitkots    时间: 2022-12-25 19:18
再也不对喷 发表于 2022-12-25 18:38
esxi+ros啊,所以叫大佬帮看看啥情况

小窗聊下,看下你具体的防火墙怎么配置的。
作者: Vampire_KILLer    时间: 2022-12-26 05:39
aitkots 发表于 2022-12-25 18:25
专门搞这个,还拿来面试的同学,不是我这种业余爱好自己折腾的能比的呀。 ...

一法通,万法通

商业使用来说最高要求是稳定,第二就是简单(当然甩锅给厂商最简单
作者: dreamburn    时间: 2022-12-26 13:20
不错,收藏回去学习一下
作者: netluck    时间: 2023-2-12 13:56
谢谢楼主,按照你的教程设置,效果不错,学到了很多
另外,请教一个问题,如果使用专门的DNS服务器(AdGuardHome),比如172.16.1.2

防火墙nat设置中的

add action=accept chain=dstnat dst-port=53 in-interface-list=LAN protocol=udp src-address-list=local_dns_ipv4 comment="lanconf: Accept Local DNS Startup Query (UDP)"
add action=accept chain=dstnat dst-port=53 in-interface-list=LAN protocol=tcp src-address-list=local_dns_ipv4 comment="lanconf: Accept Local DNS Startup Query (TCP)" log=yes log-prefix=fw_dnsv4_tcp

add action=redirect chain=dstnat dst-port=53 in-interface-list=LAN protocol=udp to-ports=53 comment="lanconf: DNS Redirect to Local (UDP)"
add action=redirect chain=dstnat dst-port=53 in-interface-list=LAN protocol=tcp to-ports=53 comment="lanconf: DNS Redirect to Local (TCP)" log=yes log-prefix=fw_dnsv4_tcp

这几条设置是不是要修改一下,这几天具体意思是什么,谢谢
作者: aitkots    时间: 2023-2-12 20:15
netluck 发表于 2023-2-12 13:56
谢谢楼主,按照你的教程设置,效果不错,学到了很多
另外,请教一个问题,如果使用专门的DNS服务器(AdGuar ...



address-list local_dns_ipv4 这个列表里面要变成你内网DNS服务器的IPv4地址,其余的不用调整。

前面两条是让你的内网DNS服务器可以进行任意公网地址的DNS查询。
后面两条是让内网设备进行53端口的DNS查询时,将DNS重定向到RouterOS本身。
作者: zhanghaobaohu    时间: 2023-2-12 20:38
kkrace 发表于 2022-8-18 15:14
直通不支持。虚拟出来可以。这个是最大的问题

7.7的ROS支持i225直通了,直通/半虚拟化,千兆看不出差别!
作者: aitkots    时间: 2023-2-12 23:55
zhanghaobaohu 发表于 2023-2-12 20:38
7.7的ROS支持i225直通了,直通/半虚拟化,千兆看不出差别!

i226估计7.8才能支持了
作者: netluck    时间: 2023-2-13 14:15
aitkots 发表于 2023-2-12 20:15
address-list local_dns_ipv4 这个列表里面要变成你内网DNS服务器的IPv4地址,其余的不用调整。

前面 ...

谢谢解答

address-list local_dns_ipv4,我改成我自己的DNS服务器地址了

前两条加上正常
后两条加上后DNS就解析不了了,我DNS服务器上游还有个smartdns做分流,这两条应该改成重定向到自己的DNS服务器吧
作者: aitkots    时间: 2023-2-13 22:53
netluck 发表于 2023-2-13 14:15
谢谢解答

address-list local_dns_ipv4,我改成我自己的DNS服务器地址了

后面两条防火墙,要和 /ip dns 里面的参数搭配使用的,你现在系统上游DNS服务器是啥?

后面两条防火墙,当 “非内网DNS” 服务器向外网地址发起53端口的DNS请求时,才会触发redirect,然后将由 RouterOS  /ip dns 中设置的 DNS 服务器进行回应。
作者: netluck    时间: 2023-2-14 11:46
aitkots 发表于 2023-2-13 22:53
后面两条防火墙,要和 /ip dns 里面的参数搭配使用的,你现在系统上游DNS服务器是啥?

后面两条防火墙, ...

在Linux里装了一个AdguardHome,做DNS查询统计,IP是172.16.1.A,端口是53
AdguardHome的上游是Openwrt,用作分流,国内走一个端口,国外走一个端口,都是非53,Openwrt的IP172.16.1.B
在RouterOS  /ip dns中设置是172.16.1.A
address-list local_dns_ipv4设置的也是172.16.1.A
作者: IPP    时间: 2023-2-14 13:16
pve真香  不过俺是硬件ROS  马了下班回来看看
作者: aitkots    时间: 2023-2-14 18:28
本帖最后由 aitkots 于 2023-2-14 18:30 编辑
netluck 发表于 2023-2-14 11:46
在Linux里装了一个AdguardHome,做DNS查询统计,IP是172.16.1.A,端口是53
AdguardHome的上游是Openwrt, ...


看明白老哥的设置结构了,

ADH的IPv4是172.16.1.A
ADH上游OP的IPv4地址是172.16.1.B(包含了SmartDNS)

ROS上游IPv4是172.16.1.A

那么老哥的 address-list local_dns_ipv4 应该包含这么几个:
172.16.1.1
172.16.1.A
172.16.1.B

而且ADH的上游DNS端口要指明端口号(非53时)
作者: aitkots    时间: 2023-2-14 18:31
IPP 发表于 2023-2-14 13:16
pve真香  不过俺是硬件ROS  马了下班回来看看

针对原厂的硬件,我也有脚本
作者: netluck    时间: 2023-2-14 22:33
aitkots 发表于 2023-2-14 18:28
看明白老哥的设置结构了,

ADH的IPv4是172.16.1.A

谢谢大佬,希望gitee继续更新,我没事就去看看
作者: netluck    时间: 2023-3-9 14:10
aitkots 发表于 2023-2-14 18:31
针对原厂的硬件,我也有脚本

大佬,再请教一下,最近你的ROS(x86版本)可以在线升级吗,我的总显示连接超时,我看是DNS解析的IP有问题,ping不通,后来我指定一个IP,也不行,不知道啥原因
作者: aitkots    时间: 2023-3-10 01:51
netluck 发表于 2023-3-9 14:10
大佬,再请教一下,最近你的ROS(x86版本)可以在线升级吗,我的总显示连接超时,我看是DNS解析的IP有问 ...

我有2台CHR,电信线路+移动线路 IPv4/IPv6 双栈,每天脚本会自动检查更新。
没遇到你说的连接超时的现象呀,而且最近都自动更新到了 v7.8 版本。
你用的具体是哪个版本?单栈 or 双栈?DNS用的是啥服务器?
作者: netluck    时间: 2023-3-24 23:13
aitkots 发表于 2023-3-10 01:51
我有2台CHR,电信线路+移动线路 IPv4/IPv6 双栈,每天脚本会自动检查更新。
没遇到你说的连接超时的现象 ...

我后来离线升级了,其他网络服务都正常就没管它了

大佬你弄了两条宽带,为什么分别用一个CHR?
有没有在一个CHR下的不同运营商宽带叠加教程,想学习一下,谢谢
作者: litccc    时间: 2023-6-18 14:29
RouterOS 7.10更新了NAT1,可否更新下开启教程
作者: aitkots    时间: 2023-6-18 17:14
litccc 发表于 2023-6-18 14:29
RouterOS 7.10更新了NAT1,可否更新下开启教程

你说的是这个?

https://help.mikrotik.com/docs/d ... oint-IndependentNAT

(, 下载次数: 107)
作者: litccc    时间: 2023-6-18 19:55
aitkots 发表于 2023-6-18 17:14
你说的是这个?

https://help.mikrotik.com/docs/display/ROS/NAT#NAT-Endpoint-IndependentNAT

是的,不过看到恩山有人反馈目前有bug,不知道是不是个例



欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/) Powered by Discuz! X3.5