问题[routeros](server)

我已经安装并配置了带有 routerOS 的 EC2 实例，我想将其用作分支网络的主要连接点。它有 1 个接口，位于子网 172.20.1.0/24。子网 172.21.1.0/24 在同一 VPC 内创建，路由表如下： 172.20.1.0/24 - 本地 172.21.1.0/24 - 本地 0.0.0.0/0 - eni-xxxxxxxx（routerOS 在 172.20.1.0/24 的接口)

routerOS 实例具有弹性 IP 并用作路由器。隧道到分支已配置并且运行良好。任何子网中的任何 AWS 实例都可以从分支网络中的任何端点访问，但反之亦然。我无法从 AWS VPC 访问分支中的任何内容。唯一到达分支的实例是 routerOS 本身。两个网络的安全组允许来自 172.20.0.0/16、172.21.0.0/16 和 192.168.0.0/16（分支子网）的所有流量。

我在这个设置中做错了什么？

Mikrotik OS v6.48.2 有路由

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          193.168.1.1               1   <<<<<<<<<<<<<<<<<<<<<
 1   S  ;;; dyno
        0.0.0.0/0                          192.168.8.1               5
 2   S  ;;; dyno
        0.0.0.0/0                          pppoe-out1                6
 3   S  ;;; dyno
        0.0.0.0/0                          193.168.1.1              10
 4 ADC  10.32.181.1/32     x.x.x.147   pppoe-out1                0
 5 ADC  10.32.238.1/32     x.x.x.250   pppoe-out2                0
 6 A S  ;;; dyno
        x.x.x.18/32                 193.168.1.1               1
 7 ADC  192.168.8.0/24     192.168.8.100   lte1                      0
 8 ADC  192.168.88.0/24    192.168.88.1    bridge                    0
 9 ADC  193.168.0.0/16     193.168.0.177   ether1                    0

但是路线 0 消失并每隔 3-5 秒再次出现。所以它变得像

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0   S  ;;; dyno
        0.0.0.0/0                          192.168.8.1               5
 1 A S  ;;; dyno
        0.0.0.0/0                          pppoe-out1                6
 2   S  ;;; dyno
        0.0.0.0/0                          193.168.1.1              10
 3 ADC  10.32.181.1/32     x.x.x.147   pppoe-out1                0
 4 ADC  10.32.238.1/32     x.x.x.250   pppoe-out2                0
 5 A S  ;;; dyno
        x.x.x.18/32                 193.168.1.1               1
 6 ADC  192.168.8.0/24     192.168.8.100   lte1                      0
 7 ADC  192.168.88.0/24    192.168.88.1    bridge                    0
 8 ADC  193.168.0.0/16     193.168.0.177   ether1                    0

LAN 没有任何改变。没有脚本正在运行。每隔 3-5 秒，它就会再次出现和消失。

/ip 地址打印

#   ADDRESS            NETWORK         INTERFACE                                                  
 0   ;;; defconf
     192.168.88.1/24    192.168.88.0    bridge                                                     
 1 D 193.168.0.177/16   193.168.0.0     ether1                                                     
 2 D 192.168.8.100/24   192.168.8.0     lte1                                                       
 3 D x.x.x.250/32   10.32.238.1     pppoe-out2                                                 
 4 D x.x.x.147/32   10.32.181.1     pppoe-out1 

如何解决这个问题？

我的虚拟环境有问题。在这张图片上你可以看到我的配置：

我一共有三个子网。其中一台具有 192.168.1.1 的路由器是物理路由器，一台虚拟路由器和两台虚拟机。

所有虚拟设备都配置了虚拟网桥 vmbr0。

哪个有效：

192.168.10.100可以ping通192.168.1.180

192.168.12.10可以ping通192.168.1.180

192.168.1.180可以ping通192.168.1.1

所以基本上连接就在那里，但由于某种原因，尽管虚拟路由器看到物理路由器，但我无法从虚拟机 ping 物理路由器。

你看到错误了吗？这是我的配置的一些打印屏幕

接口

路线列表

Bridge Konfiguration(ino4为物理接口

我有一个安装了 v7.1beta2 固件的 MikroTik 路由器

它的 WAN (eth1) 的 IP 地址为192.168.7.122

有两个设备连接到它的 LAN

• 设备#1 是一个网络服务器，在端口上通信80 TCP 192.168.88.254
• 设备 #2 是在端口上通信的 PLC9999 UDP 192.168.88.250

我已经成功设置了一个 dst-nat 以8080在 WAN 端口上公开设备 #1 网络服务器。

但是，我无法让 PLC 通过 NAT 进行通信。我已经配置了类似于网络服务器的 dstnat，只更改了端口、地址和协议。这是我现在配置的：

Chain: dstnat
Protocol: 17 (udp)
Dst. Port: 9999
Action: dst-nat
Log: x
To Addressess: 192.168.88.250
To Ports: 9999

我已经禁用drops了防火墙上的所有功能。

当我使用通信实用程序时，我将其指向 WAN 地址和配置的端口：192.168.7.122:9999并搜索设备，MikroTik RateGraph 显示峰值（因此它正在进入）但实用程序将设备报告为“丢失”（例如，它没有得到一个答复）。

当我直接连接到 LAN 并直接指向192.168.88.250:9999设备时，设备会立即显示为“可用”。

据我所知，PLC 设备并不关心 src 地址是否来自本地网络，因为我们过去通过 NAT 通信的模型相同（而且我不相信有任何特殊处理已完成）。该领域的其他硬件目前通过 Linux 机器（不是 NAT）使用 UDP 9999 的 socat，并且工作得非常好，所以我愿意弄清楚如何配置一个类似 socat 的 NAT 进行测试。

我还尝试配置 srcnat 以防 dstnat 没有将流量反向通过。就是这样：

Chain: srcnat
Src. Address: 192.168.88.250
Protocol: 17 (udp)
Dst. Port: 9999
Action: src-nat
To Addresses: 192.168.7.122
To Ports: 9999

其中，这也不起作用，并且此 srcnat 不会在速率图上显示任何流量。

我是RouterOS的新手，网络从来都不是特别强项（我是一名软件工程师），所以我不熟悉正确调试这种情况的方法，尤其是RouterOS。

在直接连接到 LAN 时在主机上使用 WireGuard，我看到两个流量都出去了，然后是响应。

使用它通过 WAN 监控它会熄灭，但我从未看到任何响应。

帮助？

我有一个问题，我无法理解如何解决......

在我的 ansible 中央机器上，我为 Mikrotik 编写了一个例程，执行一系列配置命令，从而自动配置我的 RB，但它返回以下错误，我只是不知道如何将操作系统检测配置传递给我请问，我是否必须将其作为 Ansible 配置文件中的变量传递给它？关于 Ansible 自己的脚本？我只是找不到太多关于它的信息。

错误 ：

fatal: [10.0.21.10]: FAILED! => {"msg": "Unable to automatically determine host network os. Please manually configure ansible_network_os value for this host"}

如果有人已经在 Ansible + Mikrotik 自动化方面工作过，我将非常感谢您的澄清！

我想配置我的网络，以便主机可以使用SLAAC IPV6 自动寻址全球单播地址（“ GUA ”） 。我有一个 ::/48 （由Hurricane Electric分配），我想将其划分为子网并为此目的分布在多个路由器上。但是，我遵循了 MikroTik 的Prefix Distribution文档（“ PD ”），但它没有产生有效的配置。

MikroTik 的 DHCPv6 服务器实现——也提供 PD 功能——已经被破坏多年，并且在RouterOS v6.46.6中仍然被破坏。如何使用分配给我的 ::/48 _MANUALLY_ 子网和地址 MikroTik 路由器？

如何scan-list在 MikroTik RouterOS 中设置仅使用 2.4 GHz非重叠通道频率？

我正在配置无线路由器。我知道不重叠的频道是 1,6 和 11。但是，我的路由器只指定了我可以选择的频率，而不是频道。映射到通道 1,6 和 11 的频率是多少？

我们有以下设置，我需要开始工作：

• 地点 A：
  • 子网 1：
    • 网络：192.168.1.0
    • 面具：255.255.255.0
    • 默认网关：192.168.1.1
  • 子网 2：
    • 网络：192.168.2.0
    • 面具：255.255.255.0
    • 默认网关：192.168.2.1
• 位置 B：
  • 子网 3：
    • 网络：192.168.3.0
    • 面具：255.255.255.0
    • 默认网关：192.168.3.1

位置 A 和 B 的默认网关通过 VPN 连接，并且仅路由子网 1 和 3。我无法更改这些网关的配置。我需要实现的是，流向公共子网的流量，例如 193.197.0.0 是通过子网 2 的默认网关路由的。

到目前为止我做了什么：

• 我在位置 A 和 B 添加了一个 MikroTik 路由器，其配置如下：
  • 地点 A：
    • IP：192.168.1.254、192.168.2.254
    • 路线：193.197.0.0 -> 192.168.2.254
  • 位置 B：
    • IP：192.168.3.254

现在，对于位置 A 和子网 1，这可以正常工作。但是，我无法在位置 3 正确设置 MikroTik。我试过了：

• 路线：193.197.0.0/12 -> 192.168.1.254（不起作用）
• 在两个 MikroTik 之间设置 IPIP-tunnel 和路由 193.197.0.0/12 -> (IPIP-tunnel)

背景：子网1和3的客户端需要访问某个网站。但是，只能通过子网 2 中的网关访问该网站（一些高安全性的东西）。

我很确定这些路由器可以解决这种情况，但我需要你的帮助！有任何想法吗？

我在我的 Mikrotik 上设置了一个 L2TP VPN 服务器。当我在路由器后面时连接到 VPN 是可行的，但是一旦我从 WAN 端连接，它就不行了。我记录了我的防火墙，看看我是否使用默认的删除规则删除了它，它是：

WANDROP input: in:ether1-gateway out:(none), src-mac 00:00:5e:00:01:66, proto UDP, 5.6.7.8:38211->1.2.3.4:500, len 412

但是我的规则是这样设置的：

add action=accept chain=input dst-address=1.2.3.4 dst-port=500,1701,4500 in-interface=ether1-gateway log=yes protocol=udp src-address=0.0.0.0
    add action=accept chain=input dst-address=1.2.3.4 in-interface=ether1-gateway log=yes protocol=ipsec-esp src-address=0.0.0.0
    add action=drop chain=input comment="default configuration" in-interface=ether1-gateway log=yes log-prefix=WANDROP
    add action=accept chain=input comment="default configuration" connection-state=established,related
    add action=accept chain=forward comment="default configuration" connection-state=established,related
    add action=drop chain=forward comment="default configuration" connection-state=invalid
    add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway log=yes log-prefix=DROP
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=1.2.3.4 dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.88.232 to-ports=80
    add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway

不知道我做错了什么或错过了什么。