RouterOS基础安装#

安装#

从 https://github.com/elseif/MikroTikPatch 下载
分配第一网卡为wan，第二网卡为lan
qm importdisk 117 ros/chr-7.19.4.qcow2 local-lvm
删除CD
设置QEMU-GA开启
添加串口用于xterm.js访问
显示调整为串行终端0（最好在数据中心里设置默认xterm.js）

初次登入#

用户admin，无密码

授权#

system/telnet 127.0.0.1
用devel登入(初始无密码)
输入keygen命令
exit
确认授权正确system/license/print 输出如下

1
[admin@MikroTik] > system/license/print
2
         system-id: 手动打码
3
             level: p-unlimited
4
  limited-upgrades: no
5
       deadline-at: 2100-01-01 00:00:00

level为p-unlimited表示正常

初次配置#

所有配置一定要先按apply再按ok进行配置，避免因为bug产生不安全因素

ip/address/print看一下地址，用浏览器或者winbox访问
进入后QuickStart即可
Password也先改，不然有bug，一改完配置全白写，改一下安全的，不然很快就被盗了
注意不要分配到255广播IP，ROS会从大向小分配，直接就分配不了了

QuickStart例如:

1
IP Address:192.168.28.1
2
Netmask 255.255.255.0/24
3
DHCP Server: Enable
4
NAT： Enable
5
DHCP Server Range 192.168.28.2-192.168.28.254

不推荐范围写这么大，不好分配静态IP，直接写192.168.28.100-192.168.28.200就好了
然后改下Router Identity，默认是MikroTik，改成你喜欢的名字
最后 Apply Configuration
右上角切换Advanced
IP->DNS->Allow Remote Requests打开
最后重启路由器即可

安全配置#

账户配置#

System->Users，创建新账户并禁用默认管理员账户

1
    Name: 随机（大小写+数字）
2
    Group: full
3
    Allowed Address: 192.168.88.0/24（可以不配）
4
    Password: 随机（大小写+数字+特殊字符）
5
    Confirm Password: 同上

服务配置#

IP->Services，关闭除了winbox以外的服务（除了前面带D无法关闭的）
修改winbox端口
IP->Neighbors->Discovery Settings，interface改为none
Tools->MAC Server->MAC Telnet Server/MAC WinBox Server/MAC Ping Server 全部改为端口none/关闭
Tools->BTest Server 关闭

防火墙配置#

由于IP->Services中部分服务无法关闭，将其中无法关闭的除管理需要的winbox外都配置成drop，例子如下：

1
Genral:
2
 Chain: input
3
 Protocol: 6(tcp)（根据services中信息选择）
4
 Dst.Port 53
5
 In.Interface: wan
6
Action:
7
 Action: drop