RouterOS (ROS) 固定 IP 上网配置教程

从零开始的 RouterOS (ROS) 固定 IP 上网配置教程，并包含你要求的解释说明、安全建设和备份设置。

我们将严格按照你提供的 IP 信息进行配置。

场景分析与网络拓扑

首先，我们来理解你的网络环境：

• 上级网络 (WAN): 你的 ROS 路由器需要连接到一个已有的网络（比如光猫、主路由或公司网络）。这个网络给你分配了固定的 IP 信息。

  • ROS的WAN口IP: 192.168.8.200
  • 上级网关 (Gateway): 192.168.8.1
  • 子网掩码: 通常是 255.255.255.0 (即 /24)

• 你的内网 (LAN): 这是 ROS 路由器为你的电脑、手机等设备创建的网络。

  • ROS的LAN口IP: 192.168.110.254 (它将成为你内网设备的网关)
  • 内网DHCP服务: ROS 将自动为连接到它的设备分配 192.168.110.x 范围的 IP 地址。

简单拓扑图:
互联网 -> 上级设备(192.168.8.1) -> [WAN口]ROS路由器[LAN口] -> 你的电脑/手机

---

一、详细配置教程 (从零开始)

准备工作:

1. 一台安装了 RouterOS 的设备 (如 MikroTik 路由器)。
2. 一台电脑，用网线连接到 ROS 设备的 非 WAN 口 (比如 ether2)。
3. 下载并打开 WinBox 工具。

第1步：初始连接和重置配置

为了避免默认配置的干扰，我们从一个干净的状态开始。

1. 连接: 打开 WinBox，在 Neighbors 标签页找到你的路由器，点击它的 MAC 地址，用户名输入 admin，密码为空，点击 Connect。
2. 重置: 首次登录会弹出默认配置窗口，点击 Remove Configuration。路由器会自动重启。
3. 重新连接: 重启后，再次通过 MAC 地址连接。现在路由器是完全空白的。

第2步：定义接口

给网口起个好记的名字，防止混淆。我们将连接上级网络的口叫 ether1-wan，连接内网的口叫 ether2-lan。

# WinBox:
# 1. 点击左侧菜单 "Interfaces"。
# 2. 双击 "ether1"，在 "Name" 字段改为 "ether1-wan"，点击 "OK"。
# 3. 双击 "ether2"，在 "Name" 字段改为 "ether2-lan"，点击 "OK"。

# Terminal:
/interface set ether1 name=ether1-wan
/interface set ether2 name=ether2-lan

第3步：配置 WAN 口 (固定IP)

这是核心步骤，让你的 ROS 能连接到上级网络。

1. 设置 IP 地址:

   # WinBox:
   # 1. 点击 "IP" -> "Addresses"。
   # 2. 点击蓝色的 "+" 号。
   # 3. Address: 输入 192.168.8.200/24 (注意，/24 代表子网掩码 255.255.255.0)
   # 4. Network: 会自动填充为 192.168.8.0
   # 5. Interface: 选择 ether1-wan
   # 6. 点击 "OK"。
   
   # Terminal:
   /ip address add address=192.168.8.200/24 interface=ether1-wan comment="WAN IP"

2. 设置网关 (Gateway):

   # WinBox:
   # 1. 点击 "IP" -> "Routes"。
   # 2. 点击蓝色的 "+" 号。
   # 3. Dst. Address: 保持 0.0.0.0/0 (代表所有目标地址)
   # 4. Gateway: 输入 192.168.8.1
   # 5. 点击 "OK"。
   
   # Terminal:
   /ip route add dst-address=0.0.0.0/0 gateway=192.168.8.1

3. 设置 DNS:

   # WinBox:
   # 1. 点击 "IP" -> "DNS"。
   # 2. 在 "Servers" 字段输入 DNS 服务器地址，比如国内常用的 223.5.5.5。
   # 3. 点击向下的箭头可以添加更多，比如 114.114.114.114。
   # 4. 勾选 "Allow Remote Requests" (允许内网设备使用 ROS 作为 DNS 服务器)。
   # 5. 点击 "OK"。
   
   # Terminal:
   /ip dns set servers=223.5.5.5,114.114.114.114 allow-remote-requests=yes

   测试: 此时，你的 ROS 应该已经能上网了。在 WinBox 中打开 New Terminal，输入 ping baidu.com，如果能收到回复，说明 WAN 配置成功。

第4步：配置 LAN 口 (内网)

现在配置你的内网，让电脑等设备能通过 ROS 上网。

1. 设置 LAN 口 IP 地址:

   # WinBox:
   # 1. 点击 "IP" -> "Addresses"。
   # 2. 点击蓝色的 "+" 号。
   # 3. Address: 输入 192.168.110.254/24
   # 4. Interface: 选择 ether2-lan
   # 5. 点击 "OK"。
   
   # Terminal:
   /ip address add address=192.168.110.254/24 interface=ether2-lan comment="LAN Gateway"

2. 设置 DHCP 服务器: 自动给内网设备分配 IP。

   # WinBox:
   # 1. 点击 "IP" -> "DHCP Server"。
   # 2. 点击 "DHCP Setup" 按钮，这是一个向导，非常方便。
   # 3. DHCP Server Interface: 选择 ether2-lan，点击 "Next"。
   # 4. DHCP Address Space: 自动填充为 192.168.110.0/24，点击 "Next"。
   # 5. Gateway for DHCP Network: 自动填充为 192.168.110.254，点击 "Next"。
   # 6. Addresses to Give Out: 这是分配的 IP 池，默认是 192.168.110.1-192.168.110.253，可以直接点击 "Next"。
   # 7. DNS Servers: 自动填充为 192.168.110.254，点击 "Next"。
   # 8. Lease Time: 租约时间，保持默认即可，点击 "Next"。
   # 9. 提示 "Setup has completed successfully"，点击 "OK"。
   
   # Terminal (向导更简单，但这是手动命令):
   /ip pool add name=dhcp_pool1 ranges=192.168.110.1-192.168.110.253
   /ip dhcp-server add address-pool=dhcp_pool1 interface=ether2-lan name=dhcp1
   /ip dhcp-server network add address=192.168.110.0/24 dns-server=192.168.110.254 gateway=192.168.110.254

第5步：配置 NAT (网络地址转换)

这是最关键的一步，让内网设备能通过 ROS 的公网（这里是 192.168.8.200）IP 上网。

# WinBox:
# 1. 点击 "IP" -> "Firewall"。
# 2. 切换到 "NAT" 标签页。
# 3. 点击蓝色的 "+" 号。
# 4. 在 "General" 标签页:
#    - Chain: 选择 srcnat
#    - Src. Address: 输入 192.168.110.0/24 (指定哪个内网段需要NAT)
#    - Out. Interface: 选择 ether1-wan (指定从哪个出口出去)
# 5. 切换到 "Action" 标签页:
#    - Action: 选择 masquerade (伪装)
# 6. 点击 "OK"。

# Terminal:
/ip firewall nat add chain=srcnat src-address=192.168.110.0/24 out-interface=ether1-wan action=masquerade comment="Default LAN to WAN NAT"

配置完成！ 此时，你的电脑重新插拔一下网线或禁用再启用一下网卡，应该就能获取到 192.168.110.x 的 IP 地址，并且可以正常上网了。

---

二、解释说明

• IP 地址 (/ip address): 给路由器的网口分配“门牌号”。WAN 口的 IP 是上级网络给你的，LAN 口的 IP 是你内网设备的“大门”（网关）。
• 路由 (/ip route): 告诉路由器“去往未知地方（0.0.0.0/0）的信件，都交给上级网关（192.168.8.1）处理”。没有这条，路由器就不知道怎么把数据包发到互联网。
• DNS (/ip dns): 域名解析服务，负责把 www.baidu.com 这样的域名翻译成 IP 地址。Allow Remote Requests 让你的内网电脑可以向 ROS 请求 DNS 解析，ROS 再去问公共 DNS 服务器。
• DHCP 服务器 (/ip dhcp-server): 像一个自动登记员，为新加入内网的设备自动分配 IP 地址、网关和 DNS，省去手动配置的麻烦。
• NAT-Masquerade (/ip firewall nat): 这是家庭和小企业路由器的核心。它把你所有内网设备发出的请求，都伪装成从路由器自身（192.168.8.200）发出的，这样上级网络才能正确地把回复包发回来。我们指定 src-address 和 out-interface 是为了让规则更精确，更安全。

---

三、安全建设 (基础加固)

一个“裸奔”的路由器是很危险的，请务必进行以下安全设置。

1. 修改管理员密码 (最重要！)

   # WinBox: 点击 "System" -> "Password"，填写新密码。
   # Terminal:
   /password

2. 更新 RouterOS 版本
   新版本会修复已知的安全漏洞。

   # WinBox: 点击 "System" -> "Packages"，点击 "Check For Updates"，然后 "Download&Install"。
   # Terminal:
   /system package update check-for-updates
   /system package update download
   # 下载后路由器会自动重启安装

3. 配置基础防火墙
   这是防止外网恶意访问的核心。按顺序添加以下规则。

   # WinBox: "IP" -> "Firewall" -> "Filter Rules" 标签页，点击 "+" 添加。
   # Terminal:
   /ip firewall filter
   # 规则1: 接受已经建立的、有关联的连接 (保证正常通信)
   add action=accept chain=forward connection-state=established,related comment="Accept established/related connections"
   add action=accept chain=input connection-state=established,related
   
   # 规则2: 丢弃无效的连接
   add action=drop chain=forward connection-state=invalid comment="Drop invalid connections"
   add action=drop chain=input connection-state=invalid
   
   # 规则3: 允许从内网LAN到外网的所有流量
   add action=accept chain=forward in-interface=ether2-lan out-interface=ether1-wan comment="Allow LAN to WAN"
   
   # 规则4: 允许内网访问路由器本身 (比如访问管理页面)
   add action=accept chain=input src-address=192.168.110.0/24 in-interface=ether2-lan comment="Allow LAN to access router"
   
   # 规则5: (默认规则) 丢弃所有其他试图进入的流量
   add action=drop chain=forward comment="Drop all other forward"
   add action=drop chain=input comment="Drop all other input"

4. 禁用不安全的服务

   # WinBox: "IP" -> "Services"。选中不需要的服务 (如 telnet, ftp, api)，点击红色的 "X" 禁用。
   # Terminal:
   /ip service disable telnet,ftp,www,api,api-ssl

   建议只保留 winbox 和 ssh，并且可以点击它们，在 Available From 字段填入 192.168.110.0/24，这样就只有内网能管理路由器了。

---

四、备份与恢复设置

定期备份，以防万一。

1. 生成备份文件
   ROS 提供两种备份：

   • 二进制备份 (.backup): 包含所有信息，包括密码。只能在同一型号和版本的 ROS 上恢复。
   • 脚本备份 (.rsc): 生成可读的配置文件脚本，不含密码。通用性强，可用于不同设备。

   # WinBox:
   # 1. 点击 "Files"。
   # 2. 点击 "Backup" 按钮，输入文件名，点击 "Backup" 创建二进制备份。
   # 3. 打开 "New Terminal"，输入 /export file=myconfig，创建脚本备份。
   
   # Terminal:
   # 创建二进制备份
   /system backup save name=my-router.backup
   # 创建脚本备份
   /export file=my-router-config

2. 下载备份文件
   在 WinBox 的 File List 窗口，选中备份文件，拖拽到你的电脑桌面即可。

3. 恢复备份

   • 恢复二进制备份: 在 File List 上传 .backup 文件，然后点击 Restore 按钮，路由器会重启并恢复。
   • 恢复脚本备份: 上传 .rsc 文件，在 New Terminal 中输入 /import file-name=my-router-config.rsc。

这个教程覆盖了从配置到安全加固再到备份的全过程，希望能帮助你顺利完成设置！

4. 一些常用命令

修改用户密码

[admin@MikroTik]>/user                               #进入操作路径

[admin@MikroTik]/user>print                           #显示RouterOS用户

[admin@MikroTik]/user>set admin password=123456        #修改admin用户密码为123456

[admin@MikroTik] /user> /                              #返回根目录

在当前用户下修改密码

[admin@MikroTik]>password                             #修改本目录用户密码

备份命令

[admin@MikroTik]>/system backup                           #进入操作路径

[admin@MikroTik] /system backup>save name=testbackup         #备份名为testbackup

[admin@MikroTik] /system backup>load name=testbackup         #载入备份testbackup

[admin@MikroTik]>file print                                                                   #查看备份情况

导出指令

[admin@MikroTik]>ip address print                          #查看IP

[admin@MikroTik]>/ip address                              #进入IP操作路径

[admin@MikroTik]/ip address>export file=address  #导出一个名为address的IP地址配置参数

[admin@MikroTik]>export compact                          #查看IP地址配置参数

系统重启与关机

[admin@MikroTik]>system reboot                         #系统重启

[admin@MikroTik]>system shutdown                      #系统关机

修改RouterOS主机名

[admin@MikroTik]>system identity print                     #查看RouterOS主机名

[admin@MikroTik]>system identity set name=MyRouterOS  #修改RouterOS主机名为MyRouterOS

系统资源管理

[admin@MikroTik] > /system resource                        #操作路径

[admin@MikroTik] /system resource> print              #查看CPU占用率\内存\硬

盘等使用情况

[admin@MikroTik] /system resource> monitor           #查看CPU和空闲内存使用情况

开通ssh远程

[admin@MikroTik] > ip service print                                             #查看服务

[admin@MikroTik] > ip service enable ssh                                  #开启SSH服务

[admin@MikroTik] > ip service disable ssh                                 #关闭SSH服务

[admin@MikroTik] > ip service set ssh port=22 address=10.8.9.11   #允许10.8.9.11访问SSH访问，其它IP都均被拒绝

Interface接口基本操作

[admin@MikroTik] > interface print                                              #显示接口状态

[admin@MikroTik] > interface enable ether1            #启动ether1网卡

[admin@MikroTik] > interface print stats               #显示接口状态+静态流量

[admin@MikroTik] > interface monitor-traffic ether1     #监测网卡动态流量

[admin@MikroTik] > interface ethernet print detail                #显示网卡参数

IP配置与ARP

[admin@MikroTik] > ip address add address=192.168.10.1/24 interface=ether2   #添加IP地址到ether2接口上

[admin@MikroTik] > ip address print                                           #显示IP地址

[admin@MikroTik] > ip arp print                                                    #显示arp信息

[admin@MikroTik] > ip arp add address=192.168.10.100 interface=00:23:24:2e:78:3e   #添加静态IP与ARP

[admin@MikroTik] >/interface ethernet set ether2 arp=reply-only  #设置ether2接口非静态的ARP条目将无法与路由进行通信

防火墙过滤(firewall Filte)----域名过滤

[admin@MikroTik]>ip firewall filter add action=drop chain=forward content=www.jd.com

防火墙过滤(firewall Filte)----端口映射将内网主机192.168.10.200的3389端口映射到外网的9999端口

[admin@MikroTik] > ip firewall nat add chain=dstnat protocol=tcp dst-port=9999 in-interface=WAN action=dst-nat to-addresses=192.168.10.200 to-ports=3389