侃瑞科技

RouterOS 基礎排錯教學:ping、traceroute、DNS、DHCP、路由與防火牆

RouterOS 網路不通時,依序檢查 IP、route、DNS、DHCP lease、NAT、防火牆、介面狀態與 traceroute,協助你判斷問題在 ISP、路由器、內網還是服務本身。

RouterOSMikroTik網路排錯pingtracerouteDNSDHCProuteNATfirewall防火牆介面狀態路由器

RouterOS 網路不通時,不要一開始就重開機或亂刪規則。先用固定順序檢查,才能知道問題在 ISP、WAN、LAN、DNS、NAT、防火牆,還是內網設備。

這篇整理最基本的 RouterOS 排錯流程。

先確認介面是否正常

看 interface 狀態:

/interface print
/interface ethernet print

看流量:

/interface monitor-traffic ether1

如果 WAN 介面完全沒有流量,先檢查線路、光電轉換器、數據機或 ISP。

查 IP 位址

/ip address print

你要確認:

  • WAN 有拿到 IP。
  • LAN gateway IP 正確。
  • IP 沒有加到錯誤 interface。
  • 固定 IP netmask 沒寫錯。

如果 WAN 是 DHCP:

/ip dhcp-client print detail

如果 WAN 是 PPPoE:

/interface pppoe-client print detail

查預設路由

/ip route print

一般要有一條 default route:

0.0.0.0/0 via ISP gateway

如果沒有 default route,路由器不知道往 Internet 送封包。

RouterOS 自己能不能上網

先 ping IP:

/ping 1.1.1.1 count=4

再 ping 網域:

/ping google.com count=4

判讀:

  • IP 不通:偏向 WAN、route、ISP 或防火牆問題。
  • IP 通、網域不通:偏向 DNS 問題。

檢查 DNS

/ip dns print
/ip dns cache print

常見設定:

/ip dns set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes

如果要讓內網設備用 RouterOS 當 DNS resolver,allow-remote-requests 通常要開。但不要把 DNS 對外開放成 open resolver,防火牆要擋 WAN 來的 DNS 查詢。

內網設備有沒有拿到 IP

查看 DHCP lease:

/ip dhcp-server lease print

檢查 DHCP Server:

/ip dhcp-server print
/ip dhcp-server network print

常見問題:

  • DHCP Server 開在錯誤 interface。
  • address pool 用完。
  • gateway 或 DNS 發錯。
  • LAN bridge 沒把正確 port 加進去。

NAT 是否存在

/ip firewall nat print

一般內網上網需要 srcnat masquerade:

chain=srcnat out-interface=你的WAN action=masquerade

如果 WAN 是 PPPoE,out-interface 應該是 pppoe-out1,不是實體 ether1

防火牆是否擋住

查看 filter rules:

/ip firewall filter print

看 counter:

/ip firewall filter print stats

如果某條 drop rule counter 一直增加,就要確認是不是擋到你要的流量。

不要一遇到問題就清空 firewall。清空可能會讓路由器管理介面暴露在公網。

traceroute 看路由卡在哪

/tool traceroute 8.8.8.8
/tool traceroute google.com

如果第一跳就沒有,可能是 WAN 或 default route。

如果中間卡住,可能是 ISP 路由或遠端網路。

如果 RouterOS 自己通,但內網電腦不通,問題多半在 DHCP、NAT、防火牆或內網設備。

看 log

/log print

你可以看:

  • PPPoE 是否斷線。
  • DHCP client 是否 renew 失敗。
  • 介面是否 link down。
  • 防火牆是否有記錄 drop。

最小排錯清單

  • WAN interface 有 link。
  • WAN 有 IP。
  • 有 default route。
  • RouterOS ping 1.1.1.1 成功。
  • RouterOS ping google.com 成功。
  • LAN DHCP 有發 IP。
  • NAT masquerade out-interface 正確。
  • 防火牆沒有擋錯。
  • 內網電腦 gateway / DNS 正確。

需要支援時請提供

先提供這些基本資訊:

  • RouterOS 版本。
  • WAN 類型:DHCP、固定 IP、PPPoE。
  • 問題發生時間與最近做過的變更。

再貼上這幾個指令的輸出:

/ip address print
/ip route print
/ip firewall nat print
/ip firewall filter print
/ip dhcp-server lease print

貼設定前請遮掉公網 IP、帳號、密碼、DDNS 名稱或客戶資料。

參考資料:

需要主機來實作?

侃瑞科技提供 cPanel 虛擬主機與 VPS,教學裡的操作開箱即用。

查看方案 →

相關閱讀

RouterOS 網路設備教學

RouterOS Port Forward 與 NAT 教學:把內網服務安全開到外網

教你在 MikroTik RouterOS 設定 dst-nat、port forward、防火牆放行與基本安全檢查,並說明公網 IP、CGNAT、hairpin NAT 與常見連不進來的原因。

RouterOS 網路設備教學

RouterOS 新手第一次設定:WinBox、改密碼、WAN、LAN、DHCP、NAT

第一次使用 MikroTik RouterOS 時,先學會安全登入、備份設定、改密碼、設定 WAN、LAN、DHCP Server、NAT 與基本防火牆,避免一開始就把路由器暴露在網路上。

網域、DNS 與網路診斷

ping 與 traceroute 教學:Windows、Linux 網路連線基本排查

用 Windows 和 Linux/macOS 分開示範 ping、tracert、traceroute、tracepath 的基本用法,協助你判斷網站打不開是 DNS、主機、網路路由還是防火牆問題。

上一篇

RouterOS Port Forward 與 NAT 教學:把內網服務安全開到外網

下一篇

RouterOS 備份、升級、重置與 Netinstall:出問題前先留退路