前言:下面是全命令模式配置的RouterOS,只是达到了一个目的:内网可以访问外网,如果想让它更安全请注意补充防火墙策略!
电信单位用网配置单:
IP ADDRESS:218.*.*.6
MASK:255.255.255.252(30位)
GATEWAY:218.*.*.5
配置过程:
MikroTik v2.8.26Redo previously
Login:
Password:
MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK
Terminal ansi detected, using single line input mode
[admin@MikroTik] >
old password:
new password: **********
retype new password: **********
[admin@MikroTik] >
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 X ether1 ether 0 0 1500
1 X ether2 ether 0 0 1500
[admin@MikroTik] interface> set 0 name wan
[admin@MikroTik] interface> set 1 name lan
[admin@MikroTik] interface> set wan disabled no
[admin@MikroTik] interface> set lan disabled no
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R wan ether 0 0 1500
1 R lan ether 0 0 1500
[admin@MikroTik] interface> /
[admin@MikroTik] >
[admin@MikroTik] ip address> add address = interface =wan
[admin@MikroTik] ip address> add address = interface =lan
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.1/8 10.0.0.0 10.255.255.255 lan
1 218.*.*.6/30 218.*.*.4 218.*.*.7 wan
[admin@MikroTik] ip address> /
[admin@MikroTik] >
[admin@MikroTik] ip route> add gateway
[admin@MikroTik] ip route> print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 218.*.*.5 1 wan
1 DC 218.*.*.4/30 r 0.0.0.0 0 wan
2 DC 10.0.0.0/8 r 0.0.0.0 0 lan
[admin@MikroTik] ip route> /
[admin@MikroTik] >
[admin@MikroTik] ip firewall src-nat> add action =masquerade out-interface=wan
[admin@MikroTik] ip firewall src-nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 out-interface=wan action=masquerade
[admin@MikroTik] ip firewall src-nat> /
[admin@MikroTik] >
|
命令说明:
RouterOS的基本设置包括四个部分interface、ip address、ip route 、ip firewall src-nat。
1.interface的命令中主要为修改接口称和激活接口;
2.ip address的命令主要为分别在两接相应接口上增加外网IP地址和局域网IP地址;
3.ip route的命令主要是墙加路由表,这里简单的网络路由表中只有三条,一条是手动加的,两条是动态路由项;
4.ip firewall src-nat 的命令是用来设置网络地址转换,这里的伪装(masquerade)即是网络地址转换(NAT)的一种特殊形式,局域网多台机器使用一个外网IP上网一般都用伪装(masquerade)。
如果只是做单纯的路由器来使用,把上面绿色部分的IP按实际的网络修改即可!
此过程本人已全新安装测试多次,均很正常,如果你按照此命令设置仍不能让局域网访问外网,最有可能的是你的内网和外网网线插反了网卡,更不要忘了客户机的TCP/IP属性配置。
一些提示:
如果你是ADSL用户,在上文描述的基础上不要在外网的网络接口上指定IP及掩码,也不要在路由表中加入任何静态路由记录,但要在外网的网络接口上加入PPPoE Client,在PPPoE Client属性中输入ADSL帐号和密码。这时外网接口会自动获得IP,也可获得路由记录。
如果你仅仅是动态IP用户但不是ADSL用户,应在上文描述的基础上不要在外网的网络接口上指定IP及掩码,也不要在路由表中加入任何静态路由记录,只需要在外网的网络接口上加入DHCP Client即可。这时外网接口会自动获得IP,也可获得路由记录。
原文链接:
http://www.dlog.cn/nicholascoder/diary/11274