侃瑞科技

RouterOS 新手第一次設定:WinBox、改密碼、WAN、LAN、DHCP、NAT

第一次使用 MikroTik RouterOS 時,先學會安全登入、備份設定、改密碼、設定 WAN、LAN、DHCP Server、NAT 與基本防火牆,避免一開始就把路由器暴露在網路上。

RouterOSMikroTikWinBoxRouterOS教學WANLANDHCPNAT防火牆路由器網路設備新手教學

RouterOS 很強,但也因為功能太完整,新手第一次打開很容易不知道從哪裡開始。你不需要一開始就學 BGP、VLAN、Queue 或 VPN,先把安全登入、WAN、LAN、DHCP、NAT、防火牆這幾件事做對。

這篇假設你要把 MikroTik 當成一般辦公室或家用路由器:一邊接 ISP,另一邊給內網設備上網。

先準備這些資訊

向 ISP 或網管確認:

項目常見情況
WAN 取得 IP 方式DHCP、固定 IP、PPPoE
固定 IP 資料IP、netmask、gateway、DNS
PPPoE 資料帳號、密碼、service name 是否需要
內網網段例如 192.168.88.0/24 或公司指定網段

不確定時,不要先清掉預設設定。先備份,再慢慢改。

第一步:安全登入與備份

常見登入方式:

  • WinBox。
  • WebFig。
  • SSH。
  • Console。

第一次登入後先做三件事:

  1. 改掉預設密碼。
  2. 建立備份與文字匯出。
  3. 確認從 WAN 不能管理路由器。

建議先輸出設定:

/export file=before-change
/system backup save name=before-change

backup 適合同一台設備還原;export 比較適合人工閱讀與比對。不要把含有密碼或公網 IP 的設定檔公開貼到論壇。

改密碼與建立管理者

查看使用者:

/user print

修改目前 admin 密碼:

/user set admin password=請換成安全密碼

更好的做法是新增自己的管理者,再停用預設 admin:

/user add name=yourname group=full password=請換成安全密碼
/user disable admin

密碼不要貼在工單、截圖或文章裡。

設定 WAN:DHCP、固定 IP、PPPoE

情境 A:WAN 用 DHCP

多數家用或部分辦公室線路可以直接 DHCP:

/ip dhcp-client add interface=ether1 add-default-route=yes use-peer-dns=yes disabled=no

查看狀態:

/ip dhcp-client print
/ip address print
/ip route print

情境 B:WAN 用固定 IP

假設 ISP 給:

  • IP:203.0.113.10/24
  • Gateway:203.0.113.1
  • DNS:1.1.1.18.8.8.8

設定:

/ip address add address=203.0.113.10/24 interface=ether1 comment=WAN
/ip route add gateway=203.0.113.1
/ip dns set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes

情境 C:WAN 用 PPPoE

/interface pppoe-client add name=pppoe-out1 interface=ether1 user=你的帳號 password=你的密碼 add-default-route=yes use-peer-dns=yes disabled=no

查看:

/interface pppoe-client print
/ip address print
/ip route print

設定 LAN IP

假設內網使用 192.168.88.1/24

/ip address add address=192.168.88.1/24 interface=bridge comment=LAN

如果你沒有 bridge,要先建立 bridge 並把 LAN ports 加進去。多數有預設設定的 RouterBOARD 已經建好 bridge。

查看:

/interface bridge print
/interface bridge port print

設定 DHCP Server

建立 IP pool:

/ip pool add name=lan-pool ranges=192.168.88.100-192.168.88.200

設定 DHCP network:

/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1

建立 DHCP server:

/ip dhcp-server add name=lan-dhcp interface=bridge address-pool=lan-pool disabled=no

查看租約:

/ip dhcp-server lease print

設定 NAT 讓內網上網

一般內網要透過 WAN 出去,需要 masquerade:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade comment="LAN to Internet"

如果 WAN 是 PPPoE,out-interface 要改成:

/ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masquerade comment="LAN to Internet"

基本防火牆觀念

至少要做到:

  • WAN 不能直接登入路由器管理介面。
  • LAN 可以管理路由器。
  • 已建立連線可以回來。
  • 不要把 WinBox、SSH、WebFig 直接暴露到全 Internet。

如果你不熟 RouterOS firewall,不要隨便清空預設防火牆。清空後再接上公網,很容易把管理介面暴露出去。

基本測試

在 RouterOS 上測:

/ping 1.1.1.1
/ping google.com
/tool traceroute 8.8.8.8
/ip dns cache print

在內網電腦測:

ping 192.168.88.1
ping 1.1.1.1
ping google.com

如果 IP 可以 ping,網域不行,通常是 DNS 問題。

常見錯誤

直接清空預設設定

新手最常出事就是一開始按 remove configuration,然後不知道要補哪些防火牆、DHCP、NAT。除非你知道自己要做什麼,否則先備份。

NAT out-interface 寫錯

WAN 是 pppoe-out1,NAT 卻寫 ether1,內網可能無法上網。

DHCP Server 開在錯誤 interface

DHCP Server 要開在 LAN bridge,不要開在 WAN。

管理服務暴露在 WAN

WinBox、SSH、WebFig 對外開放會增加被掃描和攻擊風險。至少限制來源 IP。

下一步

需要讓內網服務從外面連進來,請看 RouterOS Port Forward 與 NAT 教學

遇到網路不通,請看 RouterOS 基礎排錯教學

參考資料:

需要主機來實作?

侃瑞科技提供 cPanel 虛擬主機與 VPS,教學裡的操作開箱即用。

查看方案 →

相關閱讀

RouterOS 網路設備教學

RouterOS 基礎排錯教學:ping、traceroute、DNS、DHCP、路由與防火牆

RouterOS 網路不通時,依序檢查 IP、route、DNS、DHCP lease、NAT、防火牆、介面狀態與 traceroute,協助你判斷問題在 ISP、路由器、內網還是服務本身。

RouterOS 網路設備教學

RouterOS Port Forward 與 NAT 教學:把內網服務安全開到外網

教你在 MikroTik RouterOS 設定 dst-nat、port forward、防火牆放行與基本安全檢查,並說明公網 IP、CGNAT、hairpin NAT 與常見連不進來的原因。

RouterOS 網路設備教學

RouterOS 備份、升級、重置與 Netinstall:出問題前先留退路

整理 MikroTik RouterOS 備份、export、升級、reset configuration 與 Netinstall 基本觀念,讓你在改設定、更新版本或忘記密碼前知道怎麼降低風險。

下一篇

RouterOS Port Forward 與 NAT 教學:把內網服務安全開到外網