Mikrotik ROS做策略路由

因为工作需要翻墙出逃,网关是一台RB951G-2HnD,ROS版本是:6.22,需要对指定的某些IP段走VPN线路出去。

有两种方案:

1、在IP routes里手工增加静态路由,但是如果IP段很多,这样很麻烦,而且路由表里特别多。

2、配合ip firewall做策略路由,具体配置如下:

2.1、在ip Firewall中打开Address List配置,需要通过VPN路由出去的IP段,如下图:

2.2、在Mangle中对需要走VPN出去的包打标签,如下图:

2.3、一般我们已经提前做好了NAT或者masquerade,但是这里要注意一下,做masquerade或者snat的时候不要指定网卡接口。

/ip firewall nat add chain=srcnat action=masquerade

即可。

2.4、进入ip routes,增加一个0.0.0.0/0的路由项,并且Routing Mark选择刚才在ip firewall里定义的New Routing Mark的名字,截图如下:

2.5、OK,以后所有在ip firewall > addresss list > 中定义的FW的IP段都会走VPN出去。

 

一般家用路由器仅作为AP使用,扩展无线漫游

公司有两台限制的NetGear WGR614 150M的无线路由,限制废物利用,将他们配置为纯AP,并且接入现有的无线网络中,多了两个无线漫游的接入点。

以前公司的无线SSID是:WLAN1401,使用WPA2 PSK/aes ccm方式加密,密码是:mywifi98,现有网络是192.168.248.0/24,并且网络中已经存在DHCP Server。

因为没有网线可以插入MAC笔记本,所以所有的配置均在无线的情况下完成,具体步骤如下:

1、保证自己的笔记本处于不能搜索不到WLAN1401信号的环境下(否则后面无线漫游调试的时候会冲突);

2、先按住WGR614背板天线位置的reset键几秒,当电源灯开始黄色闪烁的时候松开,系统被重置。

3、扫描无线网络,应该会出现默认的SSID:NETGEAR,并且是没有密码的,连接上;

4、输入路由器管理地址,http:/192.168.1.1/(一般是这个),账号:admin,密码:password

5、进入管理界面,先找到无线配置界面,把SSID,加密方式修改和现有WLAN1401一样的配置。注意频道的选择,一般使用1、6、13等不冲突的频段。保存,重启。

6、这时候搜索新的无线,会找到WLAN1401,连接进去(如果也能连接到现存的WLAN1401的话,这里就会冲突)。

7、进入LAN设置,注意,这里把LAN的IP地址改成现存网络 WLAN1401中的一个地址,但不要和现有的已使用的IP地址冲突,比如改成:192.168.248.2/24。保存,重启。

8、路由器重启后重新连入wifi,并且进入管理界面,依然进LAN设置里,把LAN的DHCP关闭,保存,重启。

9、把设置完成的WGR614中的LAN口中接入现有的网络的交换机即可,这个AP即可以开始工作。

10、以后可以通过192.168.248.2来管理它。

以上,第7步可以跳过,但是这样以后就没法管理它了,只能重置,另外在这里WAN口是始终不用的。

其他路由器没有测试,应该类似操作就可以配置完成,可以在局域网内做多个无线漫游接入点。