RouterOS 是由拉脱维亚公司 MikroTik 开发的操作系统，可以安装在他们的路由器硬件上，也可以安装在普通的 x86 电脑上（称为 RouterBOARD 或 CHR - Cloud Hosted Router），它功能极其强大，集成了路由、防火墙、无线接入点、VPN 服务器、流量控制、 hotspot 等众多功能，被誉为“网络瑞士军刀”。

第一部分：RouterOS 基础入门

什么是 RouterOS？

RouterOS 是一个完整的网络操作系统，你可以把它想象成一个“软件化的 Cisco 或华为路由器”，它将专业网络设备的功能打包在一个软件系统中，通过命令行界面或图形界面进行管理。

• 核心特点：
  • 功能强大： 一台设备即可实现路由、防火墙、NAT、VPN、无线、QoS 等几乎所有网络功能。
  • 性价比高： 相比同功能的传统硬件，价格非常亲民。
  • 灵活性高： 支持在 x86 虚拟机中运行，方便测试和实验。
  • 社区活跃： 拥有庞大的全球用户社区，教程和资源丰富。

如何访问和管理 RouterOS？

主要有两种方式：

1. WinBox (推荐新手): 一个轻量级的 Windows 图形化管理工具，直观易用，是日常管理最常用的工具。
2. Terminal (命令行 / CLI): 类似于 Linux 的命令行界面，功能最强大，效率最高，是高级用户和脚本自动化的首选。
3. WebFig: 一个基于 Web 的图形界面，功能介于 WinBox 和 Terminal 之间，可以通过浏览器访问。

准备工作：

• 将你的电脑和 RouterOS 设备连接到同一个局域网。
• 默认情况下,RouterOS 的 IP 地址是 168.88.1，子网掩码是 255.255.0，你需要将电脑的 IP 地址设置在同一个网段，168.88.10。

WinBox 连接教程

1. 下载并安装 WinBox：从 MikroTik 官网下载。
2. 启动 WinBox：打开 WinBox，你会看到一个“Neighbors”邻居列表，如果设备已通电且连接正常，列表中会显示你的 RouterOS 设备的 MAC 地址和名称。
3. 连接设备：
   • 在列表中选中你的设备,然后点击 "Connect"。
   • 首次登录：用户名是 admin，密码留空（直接点击 OK），登录后系统会强制你修改密码。
4. 熟悉 WinBox 界面：
   • 左侧菜单栏：这是核心区域，包含了所有功能模块，如 IP, Bridge, Interface, System 等。
   • 顶部工具栏：包含常用操作，如“新终端”、“运行脚本”、“保存配置”等。
   • 主窗口：显示当前选中菜单的详细信息和配置。

第二部分：核心概念与基本配置

在开始配置前,必须理解 RouterOS 的一些核心概念。

核心概念

• RouterOS 层次结构：配置被组织成一个树状结构，非常清晰。

  • - 根路径
  • /interface - 所有网络接口
  • /ip address - 所有 IP 地址
  • /ip route - 所有路由规则
  • /ip firewall - 防火墙规则
  • /queue - 流量控制队列
  • 每个路径下可以有 sub-menu (子菜单) 和 item (条目)。

• 接口：物理或虚拟的网络端口。

  • ether1, ether2...：以太网口。
  • wlan1：无线接口。
  • pppoe-out1：PPPoE 拨号产生的虚拟接口。
  • bridge：网桥，用于将多个接口（如交换机端口）捆绑在一起，像一个接口一样工作。

• 地址：给接口分配的 IP 地址和子网掩码。

• 路由：决定数据包应该从哪个接口发送出去的规则。

  
  （图片来源网络，侵删）
  • 直连路由：系统自动根据接口的 IP 地址生成。
  • 静态路由：手动添加的路由规则，用于告诉设备如何到达不直接相连的网络。
  • 动态路由：通过路由协议（如 OSPF, BGP）自动学习和计算的路由。

• 防火墙：由多个“链”组成的访问控制列表。

  • filter 链：最常用，用于过滤数据包，决定放行还是丢弃。
  • nat 链：用于网络地址转换，实现内网共享上网。
  • mangle 链：用于修改数据包的标记，常与 QoS 配合使用。
  • raw 链：在连接跟踪之前处理数据包。

• 地址列表：可以创建一个 IP 地址或地址段的列表，然后在防火墙规则中引用，方便管理。

• 连接跟踪：类似于状态检测防火墙，它会跟踪所有活动的网络连接，确保只有请求出站的数据包才能返回。

基本配置示例：家庭/办公室路由器

假设场景：

• WAN 口：ether1，连接到光猫/上级网络。
• LAN 口：ether2-ether5，连接内部电脑。
• 目标：让内部电脑通过这台路由器上网。

配置接口和 IP 地址

1. 配置 LAN 口：

   • 进入 IP > Address。
   • 点击 添加新条目。
   • Address: 168.1.1/24 (这是给路由器 LAN 口的地址，/24 代表子网掩码 255.255.0)
   • Interface: 选择 bridge (我们先把所有 LAN 口桥接起来)。
   • 点击 OK。

2. 创建网桥并添加 LAN 口：

   • 进入 Bridge > Ports。
   • 点击 添加。
   • Interface: 依次选择 ether2, ether3, ether4, ether5，为每个接口都添加一遍。
   • 点击 OK，所有 LAN 口就像一个交换机一样工作了。

配置 NAT (网络地址转换)

这是实现内网共享上网的关键。

1. 进入 IP > Firewall > NAT。
2. 点击 添加新规则。
3. Chain: 选择 srcnat (源 NAT)。
4. Src. Address: 168.1.0/24 (我们只转换来自这个网段的流量)。
5. Action: 选择 masquerade (伪装)。
6. 点击 OK。
   • masquerade 的作用是将内网所有设备的 IP 地址都替换成路由器 WAN 口的 IP 地址，从而对外隐藏内网结构。

配置 DHCP 服务器

为内网设备自动分配 IP 地址。

1. 进入 IP > DHCP > Server > Settings。
2. 勾选 Enable。
3. Interface: 选择 bridge。
4. Address Pool: 168.1.100-192.168.1.200 (分配给客户端的 IP 地址范围)。
5. Gateway: 168.1.1 (必须和路由器 LAN 口的 IP 一致)。
6. DNS Server: 8.8.8 和 1.1.1 (或者你自己的 DNS 服务器)。
7. 点击 OK。

配置 WAN 口

1. 进入 IP > DHCP Client。
2. 点击 添加。
3. Interface: 选择 ether1 (你的 WAN 口)。
4. 点击 OK。
   • 这会让路由器通过 WAN 口自动从上级网络（如光猫）获取一个 IP 地址，如果你的 WAN 口是静态 IP，则需要手动在 IP > Address 中为 ether1 添加 IP。

完成！ 你的内网设备插到 LAN 口上，应该就能自动获取 IP 并上网了。

第三部分：进阶功能概览

当你掌握了基础后,可以探索 RouterOS 更强大的功能。

无线功能

• 配置 AP (接入点)：
  • 进入 Wireless。
  • 选择你的无线网卡（如 wlan1）。
  • 在 Interface 标签页，设置 Mode 为 ap-bridge，SSID 为你的 Wi-Fi 名称。
  • 在 Security 标签页，设置 Mode 为 wpa2-psk，并设置 Pre-shared Key (密码)。
  • 在 AP Bridge 标签页，将 Bridge 勾选上，使其连接到 LAN 网桥。

VPN 服务

• L2TP/IPSec VPN 服务器：
  • 配置 IPsec：IP > IPsec，设置 Proposal 和 Peers。
  • 配置 L2TP：RADIUS > L2TP，启用服务器，设置 Secret (密钥)。
  • 配置 PPP Secrets：RADIUS > PPP Secrets，添加 VPN 用户的用户名和密码。
  • 配置防火墙：在 IP > Firewall > Filter 中添加规则，允许 VPN 流量。

流量控制

• 限制下载/上传速度：
  • 进入 Queue > Simple。
  • 可以基于目标地址、源地址、端口等创建队列规则，为特定用户或应用设置带宽限制，限制某个 IP 的下载速度为 10Mbps。

端口转发

• 将内网服务器暴露到公网：
  • 进入 IP > Firewall > NAT。
  • 添加一条 dstnat (目标 NAT) 规则。
  • Dst. Address: 路由器的公网 IP。
  • Protocol: tcp 或 udp。
  • Dst. Port: 外部访问的端口 (如 8080)。
  • To Addresses: 内网服务器的 IP (如 168.1.100)。
  • To Ports: 服务器上实际服务的端口 (如 80)。

第四部分：管理、维护与排错

备份与恢复配置

• 备份：在 WinBox 中，点击菜单栏的“保存”图标，或使用命令 /system backup save name=backup。
• 恢复：使用 WinBox 的“恢复”功能，或上传 .backup 文件后重启设备。

更新系统

• 查看版本：/system resource print。
• 下载更新：/system package update download。
• 安装更新：/system package update install。
• 重启：/system reboot。

常用排错命令

• /interface print - 查看所有接口状态。
• /ip address print - 查看所有 IP 地址。
• /ip route print - 查看路由表。
• /ping [地址] - 测试网络连通性。
• /tool traceroute [地址] - 跟踪网络路径。
• /ip firewall connection print - 查看当前连接跟踪状态。

学习资源推荐

1. 官方文档 (最重要！)：

   • MikroTik Wiki: https://wiki.mikrotik.com/wiki/Main_Page (最权威、最全面的资料库，有中文版)
   • 官方文档: https://help.mikrotik.com/docs/display/ROS/RouterOS+Documentation

2. 视频教程：

   • YouTube: 搜索 "MikroTik The Dude" 或 "MikroTik Certified Trainer"，有很多优秀的系列教程。
   • Bilibili (B站): 国内有很多 UP 主分享 RouterOS 的配置教程，搜索“RouterOS教程”即可找到。

3. 中文社区：

   • RouterOS 中文论坛: https://www.mikrotik.com.cn/ (国内最活跃的 RouterOS 社区，遇到问题可以在这里提问)。
   • V2EX: 在 routeros 或 mikrotik 版块也有很多讨论。

RouterOS 虽然功能强大，但学习曲线相对陡峭，建议从 WinBox 开始，先掌握 基础路由、NAT、DHCP 这三大核心配置，然后逐步尝试 无线、VPN、防火墙 等功能。

学习路径建议：

1. 安装 WinBox，连接设备。
2. 理解核心概念（接口、路由、防火墙）。
3. 亲手搭建一个家庭/办公室路由器。
4. 学习无线 AP 的配置。
5. 尝试配置一个简单的 L2TP VPN。
6. 阅读官方文档，学习更高级的功能。

耐心和动手实践是掌握 RouterOS 的最佳方式，祝你学习顺利！