RouterOS基础安装

安装

从 https://github.com/elseif/MikroTikPatch 下载
分配第一网卡为wan，第二网卡为lan
qm importdisk 117 ros/chr-7.19.4.qcow2 local-lvm
删除CD
设置QEMU-GA开启
添加串口用于xterm.js访问
显示调整为串行终端0(最好在数据中心里设置默认xterm.js)

初次登入

用户admin，无密码

授权

system/telnet 127.0.0.1
用devel登入(初始无密码)
输入keygen命令
exit
确认授权正确system/license/print 输出如下

1
2
3
4
5

[admin@MikroTik] > system/license/print 
         system-id: 手动打码        
             level: p-unlimited        
  limited-upgrades: no                 
       deadline-at: 2100-01-01 00:00:00`

level为p-unlimited表示正常

初次配置

所有配置一定要先按apply再按ok进行配置，避免因为bug产生不安全因素

ip/address/print看一下地址，用浏览器或者winbox访问
进入后QuickStart即可 Password也先改，不然有bug，一改完配置全白写，改一下安全的，不然很快就被盗了
注意不要分配到255广播IP，ROS会从大向小分配，直接就分配不了了
QuickStart例如:

1
2
3
4
5

IP Address:192.168.28.1
Netmask 255.255.255.0/24
DHCP Server: Enable
NAT： Enable
DHCP Server Range 192.168.28.2-192.168.28.254

不推荐范围写这么大，不好分配静态IP，直接写192.168.28.100-192.168.28.200就好了
然后改下Router Identity，默认是MikroTik，改成你喜欢的名字
最后 Apply Configuration
右上角切换Advanced
IP->DNS->Allow Remote Requests打开
最后重启路由器即可

安全配置

账户配置

Sysytem->Users，创建新账户并禁用默认管理员账户

1
2
3
4
5

    Name: 随机（大小写+数字）
    Group: full
    Allowed Address: 192.168.88.0/24（可以不配）
    Password: 随机（大小写+数字+特殊字符）
    Confirm Password: 同上

服务配置

IP->Services,g关闭除了winbox以外的服务（除了前面带D无法关闭的）
修改winbox端口
IP->Neighbors->Discovery Settings,interface改为none
Tools->MAC Server->MAC Telnet Server/MAC WinBox Server/MAC Ping Server 全部改为端口none/关闭
Tools->BTest Server 关闭

防火墙配置

由于IP->Services中部分服务无法关闭，将其中无法关闭的除管理需要的winbox外都配置成drop，例子如下：

1
2
3
4
5
6
7

Genral:
 Chain: input
 Protocol: 6(tcp) （根据services中信息选择）
 Dst.Port 53
 In.Interface: wan
Action:
 Action: drop