1、如何使用Console口连接RouterOS的终端控制:
通过标准的DB9的Console线连接到路由器,PC的串口连接的默认设置为每秒位数:9600 bits/s (RouterBOARD系列串口是115200 bits/s),使用终端仿真程序(如在windows中的超级终端或SecureCRT,UNIX/Linux的minicom)连接到路由器。
2、如何通过命了复位RouterOS?
进入RouterOS的终端控制台(CLI命令行),在命令行输入以下命令
[admin@cdnat] /system> reset-configuration
Dangerous! Reset anyway? [y/N]:
3、如果RouterOS密码丢失或者系统故障如何处理:
这个问题需要分2部分:
1、如果密码丢失,如果是PC可以通过RouterOS光盘重新安装回复出厂设置,也可以通过我公司的U盘复位软件删除密码,删除后默认账号是admin,密码为空。如果是RouterBOARD可以通过Netinstall软件或者主板上的reset圆形铜片复位,如下图:
RouterBOARD的复位
2、当系统出现故障无法正常启动或者允许,PC通过RouterOS光盘重新安装系统,如果是RouterBOARD也通过Netinstall安装
4、我的RB750/G密码忘记该怎么复位?
RB750/G在前面板都有复位按钮,开机通电安装复位按钮,直到RouterOS自检(设备灯连续闪烁两次)完成即复位
5、我的RB750/G系统损害,要重新通过Netinstall安装软件,但没有Console口该怎么办?
RB750/G不需要Console口也可以安装RouterOS,只需要在本地电脑上打开并配置好Netinstall软件,通过网线连接到RB750/G的ether1口,启动时同时安装reset按钮不放,则可以在Netinstall上显示RB750/G的安装信息,这时你便可以安装
6、如何升级RouterBOARD的固件
RouterBOARD的固件不定期进行更新,通常我们需要进行升级,操作时要求能连接到互联网,一般用winbox操作即可,通过命令行设置,配置参数如下
[admin@cdnat] /system routerboard> upgrade
Do you really want to upgrade firmware? [y/n]
y
firmware upgraded successfully, please reboot for changes to take effect!
[admin@cdnat] /system routerboard>
7、我的RouterOS添加IP地址后,路由器的网卡和我的电脑在同一局域网,且在同一网段,但为什么不能ping通路由器
这个问题可能是你的路由器IP地址的子网掩码没有设置正确,例如192.168.1.1/24的IP地址设置到路由器,可能你没有设置子网掩码直接输入的是192.168.1.1,这样路由器则认为IP地址是192.168.1.1/32,这样的问题需要你重新设置网络地址和广播地址,保证路由器和局域网在同一子网段。
8、我有两张网卡在MikroTik路由器上,并能正常运行。我能在路由器上ping通两个网络,但无法从一个网络ping到另外一个网络或到互联网,我并没有设置防火墙规则?
这是一个典型的问题,你没有设置路由的网关,你需要将的数据传输到互联网,需要告诉路由器一个出去的网关。如果你需要通过路由器隐藏你的内部网络上网,需要在ip firewall nat设置Masquerading操作。具体的操作请你查看基本操作首册。下面是如何隐藏内网的nat操作
[admin@MikroTik] ip firewall nat> add chain=srcnat action=masquerade out-interface=Public
[admin@MikroTik] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
chain=srcnat out-interface=Public action=masquerade
9、如果我不想使用23端口和80端口,我如何修改我的telnet或者HTTP服务的TCP端口?
你能通过/ip service找到你需要修改协议的对应规则,并对这些规则进行操作
例如修改http服务端口的CLI如下:
/ip servcie set www port=8080
10、我需要设置DHCP-client客户端获取IP地址,但在winbox操作时没有找到/ip dhcp-client的设置
系统功能包没有包含DHCP包,你需要安装dhcp package,通过上传当前版本dhcp.npk的文件升级路由器功能
11、我能否在DHCP中绑定每个用户的IP和MAC地址?
是的,你可以添加静态租约到DHCP服务器的leases菜单下设置,从安全性考虑,最好的方法是通过PPPOE认证分配IP地址,同样也可以根据账号绑定MAC地址。
12、如何能隐藏两个不同子网段到不同的两个IP地址?
进入/ip firewall nat 后,添加规则chain=srcnat action=src-nat,设置好src-address的内网子网段后,指定to-src-address的值为需要隐藏的IP地址,如果选择action=masquerade,则to-src-address 不会能选择,IP地址将由路由器自动选择
13、当我使用PPPoE上网时,为什么不能正常的访问某些网站?
这个问题比较常见,请在/ip firewall mangle 添加一条change MSS 的规则,至少小于你连接MTU值的40bytes,如果你加密的PPPoE连接MTU是1492,设置mangel规则如下
/ ip firewall mangle
add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1448
14、如何禁止192.168.0.11的IP地址上网?
进入ip firewall filter中,选择chain=forward链表,设置源地址为192.168.0.11,action=drop
[admin@cdnat] > ip firewall filter
[admin@cdnat] /ip firewall filter> add chain=forward src-address=192.168.0.11 action=drop
15、如何使用防火墙过滤指定的端口?
添加一条firewall规则,将所有通过路由器到目标协议为TCP,端口为135的数据包丢弃掉:
/ip firewall filter add chain=forward dst-port=135 protocol=tcp action=drop
拒绝通过Telnet访问路由器(协议 TCP, 端口 23):
/ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop
16、我如何导出防火墙配置,并用到其他RouterOS上?
首先打开RouterOS的终端控制台(CLI命令行)进入/ip firewall filter,输入命令export file=”文件名”
[admin@cdnat] > ip firewall filter
[admin@cdnat] /ip firewall filter> export file=fir
导出后,可以在files中找到,然后拷贝下传到另外一台RouterOS上,并通过/import file=”文件名”导入到
17、如何过滤P2P?
Peer-to-peer协议即我们所说的用于主机间点对点传输p2p。这个技术有许多优秀的应用如Skype,但同时也带了需要的为许可的软件和媒体在网络中泛滥。甚至影响到http和e-mail的正常使用。RouterOS能识别部分P2P协议的连接,下面是丢弃所有的P2P协议:
[admin@MikroTik] /ip firewall filter> add chain=forward p2p=all-p2p action=drop
[admin@MikroTik] /ip firewall filter> print chain=forward
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop p2p=all-p2p
18、RouterOS策略路由方式有那些?
策略路由支持源地址、目标地址、地址列表、端口策略和负载均衡等,RouterOS常见的负载均衡包括Nth和PCC(3.24后支持),大多策略路由是在ip firewall mangle中标记完成的,多采用Prerouting链表执行,普通的源和目标地址策略路由可以在ip route或者ip route rules里完成
19、Nth和PCC有什么区别?
Nth第N次的排列是基于连接的负载均衡,是重新排列连接分组,将每次新建立连接的数据进行负载均衡。PCC每次连接分类是基于IP地址的负载均衡,将相关链接的IP地址进行负载均衡。在实际使用时PCC稳定性比Nth高,但负载流量Nth比PCC相对较均衡,但建议使用PCC负载均衡。下载本文
