RouterOS

起因

家里的Proxmox母机开了VXLAN的SDN，但是由于vxlan隧道需要吃掉几十个字节作为包的头，导致vxlan的子网里面必须将mtu缩小至1450（母机之间互联用的是1500），但是每次开虚拟机就要手动改mtu这个非常的不友好。

在网上搜索手动指定mtu，文章全部都是使用静态的ip地址，在进一步搜索的时候，发现需要修改Linux的dhcpclient配置，在配置文件里面看到，在客户端发送dhcp请求的时候，是包含接口mtu信息的。

这样就有趣了。

那是不是DHCP服务器可以指定客户端的接口mtu呢？那就不需要我一个一个手动修改了。

进行一番搜索之后，果然发现DHCP里面指定了一个option 26，可以定义接口mtu。而RouterOS也支持自定义dhcp options，官方的wiki里面有关于option的写法。

开搞

配置过程中充满了曲折，我尝试在winbox里面添加option，根据教程，我尝试在value里面填入1400，报错，然后尝试填入0x5aa（1450的十六进制值），也不行。然后我发现，填值据然要加上单引号，于是填入‘1450’，过了。

然而事情并不顺利，我在客户端通过DHCP拿到一个奇怪的mtu，43525。当时我就蒙圈了，这啥情况？

于是我胡乱填了更多的值，得到了更多奇奇怪怪大的一批的mtu值。着实搞不明白，然后仔细看了一下winbox中给的rawvalue，看着怎么这么眼熟，好家伙，这不是把字节的顺序给反过来了吗!

我再确认一下整个活

确认之后，就可以根据需要的raw value反推需要填的值。我们需要 05 aa ，就将 aa 05转换成十进制，得出43525，填入之后得到正确的raw value。

经测试，能够正常获取到1450的mtu。

报告Bug

这明显是有问题啊，我就去给mikrotik提了个请求，得到回复说马上就修。

继续阅读官方wiki

后来仔细阅读了一下官方的wiki，里面提到确实可以用0x来输入十六进制的值，也不用用单引号括住。那为啥我输入0x5aa报错？再来一次的时候发现……0x05aa是完全没问题的，但是0x5aa就不行。

看着顺眼多了。后续等官方修复这个Bug之后或许可以换回去’1450’，这样就更直观了。

背景

因为家里的宽带是找电信要了公网IP地址的，所以互联网可以直接访问到我作为出口的RouterOS，而众所周知，互联网上扫描机不知何几，被盯上了的话也是一件相当麻烦的事。

起因

之前在玩RouterOS上的防火墙的时候，发现有一个动作，叫做“add src to address list”，能够将包的源地址添加到某个列表中。俺寻思了一下，发现这能够很好的抵挡扫描机，思路是这样的：

防火墙策略

建立防火墙策略，指定一些经常被扫描的目的端口，然后，防火墙的动作是将包的源地址添加到一个叫做sniffer的地址列表中，设定有效时间为30天，然后，让防火墙直接丢弃来自这些地址的包，这样如果某个机器尝试扫描我的出口，触发了这个机制，那这个机器就会直接被ban掉30天。

命令行的话，添加起来是这样的：

/ip firewall filter add action=drop chain=input comment="drop sniffer" in-interface=China-Telecom src-address-list=sniffer
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=22,23,876,3306,3389,137,139,445,5001,6379,27017 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=tcp
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=22,23,876,3306,3389,137,139,445,5001,6379,27017 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=udp
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=2323,5555,80,81,37215,8000,8080,8081,8291,8443,53 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=tcp
/ip firewall filter add action=add-src-to-address-list address-list=sniffer address-list-timeout=30d chain=input comment="mark sniffer" dst-port=2323,5555,80,81,37215,8000,8080,8081,8291,8443 in-interface=China-Telecom log=yes log-prefix=sniffer protocol=udp
/ip firewall filter add action=drop chain=input comment="drop sniffer" in-interface=China-Telecom src-address-list=sniffer

然后放着一阵子，就会在address list里面看到大量的IP地址。

继续改进

如果想要更加全面的保护，可以选择在防火墙上添加允许一些正常的策略，比如说，允许每秒不超过20个echo-request的icmp包啊之类的，然后在防火墙的末尾，加一条策略，将其他未知的包，都当作扫描机处理，一律有杀错无放过。

但是有时候，ban了对方的ip，也就意味着无法访问对方的IP地址，因为回包会被防火墙丢弃。这时候就要额外的添加一条策略，插在丢弃sniffer的策略的前面：

action是accept就可以了。这样如果是主动对外访问的话，回的包要么是related，要么是established，这样就可以正常访问被ban掉的ip。至于说udp访问可能没有这个状态标记……先暂时忽略吧，出现问题再继续改进。

Windows Server作为Mikrotik设备管理员的3A服务器

2020年7月6日 by Ferrets Leave a Comment

在使用了Mikrotik的RouterOS作为出口路由使用了相当一段时间之后，我彻底成为了ROS的粉丝，现在手里有一个x86的小机和一直RB750Gr3分别在家里和出租屋做出口路由。

虽然设备不多，管理员也就我一个，根本没有3A什么的出场的机会，只不过嘛，生命在于折腾，研究研究不是也很好嘛。

安装NAPS服务器并配置

首先，安装网络访问策略服务器（NAPS），这可以用来作为Radius服务器。通过服务器管理器添加角色与功能，一路下一步，在角色一页勾选上“网络策略与访问服务”，然后继续下一步直至安装完毕为止。我因为懒得卸掉重装，后面的就没继续截图了。

安装完NPS之后，就可以开始配置。当然，首先，是添加用户组，并将用户添加到组，顺便确认一下用户的拨入属性由NAPS控制。

然后，去网络策略服务器，添加radius客户端。允许ROS使用NPS作为radius服务器。IP地址写ROS使用的源地址，机密随意只要和ROS设备上一样即可。

下一步是新建网络策略，填写策略名称之后，服务类型选择未指定。

然后下一步里面，指定匹配那个Mikrotik管理员组；这时候可以限定NAS标识符或者限定被叫站ID（前者默认是ROS的system identity，后者默认是radius客户端的IP地址）。

选择匹配策略的授权访问。至于身份验证方法，暂时知道ROS使用的mschapv2，以后会不会改就不知道了。至于约束，默认下一步。

到了配置设置的一步，把默认的两个标准删掉，手动添加Service-Type，值为Login，虽然默认的似乎也能用。

然后就是精华所在：在“供应商特定”一项里面，手动添加一个属性，属性是Vendor-Specific，添加。添加一个属性，供应商为“14988”，符合RFC规格，然后配置属性。供应商分配的属性号为3，属性格式为字符串，属性值就是用户组的名字。系统默认最高权限的组的名字是full，我这里填的就是full。

然后禁用BAP（因为感觉没什么乱用，似乎不禁用也行），下一步，完成。Windows Server这边就OK了。

配置ROS

首先，选好ROS的系统名称，保证能够匹配到NAPS上的那个过滤策略。

然后，在ROS上配置Radius客户端。Service选择login就行，address填NAPS的地址，Secret就是刚才在NAPS添加Radius客户端的机密，同时，建议指定一下源地址，特别是ROS有多个接口IP地址的时候。

下一步，在system-users中启用AAA登录，Default Group选择最低权限的一个，那就行了。

最后验证一下，大功告成！

在使用动态ip的情况下使用tunnelbroker

2017年4月13日 by Ferrets Leave a Comment

最近我家不知为啥，pppoe拨号基本上每天晚上都会断一次，而重连之后由于ip地址变更，6to4的tunnel就中断了，一次两次就算了，每天都一次的话就不能靠手动，等靠自动化来维护。

参考：

https://wiki.mikrotik.com/wiki/Manual:Scripting-examples

https://gist.github.com/pklaus/960672

最开始是打算看看RouterOS能不能在接口启动之后触发运行一次脚本，但是ppp的profile里面的那个up down的scripts触发并没有效果（或许是我用法不对？）于是只能换一种思路，定时检查ip有没有变更，如果变更了，就触发一次配置更新。

两个脚本大概是这样：

脚本check_ip_change：检查ip有没有出现变更：

:global currentIP;
:local newIP [/ip address get [find interface="wan"] address];
:if ($newIP != $currentIP) do={
 /system script run update_sit;
 :set currentIP $newIP;
}

脚本update_sit：执行更新interface属性以及向tunnelbroker通知客户端节点地址变更：

local ipaddr
local users "someuser"
local key "somekey"
local tunnelid "sometunnelid"
:set ipaddr [/ip address get [/ip address find interface=wan] address]
:set ipaddr [:pick $ipaddr 0 ([len $ipaddr] -3)]
/interface 6to4 set sit1 local-address=$ipaddr
/tool fetch url="https://$users:[email protected]/nic/update?hostname=$tunnelid&myip=$ipaddr" mode=https keep-result=no

然后定制每分钟执行一次check_ip_change，然后在下次ip地址变更之后，就可以在1分钟内完成自动修复了。

在RouterOS上使用Tunnelbroker的ipv6服务

2017年4月13日 by Ferrets Leave a Comment

参考：https://my.oschina.net/CandyMi/blog/500882

首先，你需要一个公网的ipv4地址，至少是能ping通的，那种能ping得到但是在防火墙后面的情况，我也没试过，这里就不多说。

以下是步骤：

1：前往https://www.tunnelbroker.net/注册一个账号，操作过程不详述；

2：登陆成功后在左侧选择新增一个tunnel

在ipv4的节点上填写你的ipv4地址，截图我是直接扒原博文的，看来他是已经搭好了tunnel再去访问的

根据你的链接速度来选择对应的服务器，选好后create tunnel就可以完成创建了。

3：完成tunnel的创建，接下来就是配置，在example configurations页可以选择大部分系统的配置命令，选择mikrotik的，可以直接给出配置的命令，方便的很。

到此，RouterOS已经能得到一个/64的地址块，可以用这个地址块来分ipv6给内网的设备了。

4：现在你手里已经有了一个/64的地址块，需要注意的是分配给你的地址块和tunnel的客户端地址不属于同一个/64地址块，tunnel的信息页面上有加粗标识，不要搞混了，Routed IPv6 Prefixes才是给子网用的。

在/ipv6/pool新增一个地址池，名字随便起一个，比如说sit，然后把你得到的这个/64地址块拷进去，保存。

5：然后就可以新增一个ipv6的dhcp服务器，pool选择sit，选好应用的接口，至此，RouterOS就可以承担dhcp服务器的作用了，给客户端分配公网的ipv6地址。

6：最后，在/ipv6/route中添加ipv6的默认路由，然后RouterOS以及下面的整个子网都可以访问ipv6网络了。

RouterOS上的pxe服务器

2017年2月22日 by Ferrets Leave a Comment

因为骨干路由从OpenWRT换到了RouterOS，所以pxe服务器也得从新搭建。

过程不是很麻烦，但是RouterOS并没有nfs服务器，所以有些linux发行版的netboot需要nfs的，就需要什么额外的机器来当这个nfs服务器了，当然，kvm是个好东西。

可以参考之前的老文https://ferrets.space/2014/04/07/在家里做了个pxe服务器/，有些东西还是自己动手丰衣足食。

目前拿了个debian来做实验：

首先，去下载必要的文件，然后，找到

pxelinux.0
ldlinux.c32
vesamenu.c32
libcom32.c32
libutil.c32
pxelinux.cfg/default
linux
initrd.gz

接下来首先就是要编辑pxelinux的配置文件pxelinux.cfg/default，内容可以参考之前的文章，大概像这样子：

DEFAULT vesamenu.c32
PROMPT 0
MENU TITLE RouterOS PXE-Boot Server

label Ubuntu
        MENU LABEL Debian
        KERNEL debian/linux
        APPEND initrd=debian/initrd.gz
        TEXT HELP
                Starts the Debian Net installer
        ENDTEXT

至于各字段怎么自定义那就自行Google了，保存好配置文件之后呢，就将这么几个文件，丢到RouterOS的文件系统（真他么的不好用）里，比如说这样：

好了之后，就在ip/tftp菜单下面增加tftp文件的配置，比如说像这样：

请求文件名可以和实际文件名不一样，实际文件名是给RouterOS看的，请求文件名是给客户端看的，所以实际文件名可以自行决定。这里要主意的是ip地址填的是客户端的ip地址，而pxe服务器嘛，基本上并没有固定ip，所以ip地址最好还是填ip段。

配置就这么多，接下来只要在客户端执行pxe启动就行了。

在RouterOS上启用基于域名的策略路由

2016年12月7日 by Ferrets Leave a Comment

最近在折腾RouterOS，发现了一种相当有趣的用法，可以基于域名来选择路由。
首先，在ip/firewall/address lists中添加地址，地址可以是ip地址或者是域名，如果是域名，则RouterOS会自动进行一次域名解析，例如这样：

可以看到域名被自动解析成了ip地址，而解析出来的记录前面有个D标记，这意味着这是动态的，ip地址记录会随着dns解析记录而变更。

例子中，我就创建了一个叫做twitter.com的address list，这就可以在mangle中做点手脚了，就像这样：

我在prerouting链中添加了一个mangle，对目标地址在twitter.com列表中的路由都进行一个标记，打上一个叫做gfw的路由标记，在打上标记之后呢，就可以在路由表中，添加一个新的路由：

例子中，我有一个名字叫做gfw的接口，作用就不多说，因为是一个ppp的链接，所以gateway可以不填地址，直接填一个接口的名字，RouterOS可以处理这种情况。上图中，就是说所有打着gfw标记的路由，默认路由是走gfw这个接口。至此，全部基本设置已经完成。

这种addresslist配合mangle的用法除了策略路由还有很多其他的用法，比如说想要屏蔽某些网站，不让用户访问，这就可以在route中，选择这个unreachable的类型，这可比用web-proxy什么的实用多了，屏蔽掉的就不仅仅是80端口了，而是整个ip，无论是http还是https或者其他协议之类的，都会屏蔽掉。当然，在一些比较精细的控制方面，比如说允许访问http://www.helloworld.com但是不允许访问http://www.helloworld.com/something这种就无能为力了，只能向L7方面寻求帮助。

这种方法还有类似的，比如说传统一点，在address lists中，不用域名，而是用地址块，比如说这样：

把一整块地址加进去address lists里面，也是可以的，这样更加容易绕开方法里面的一种缺陷，因为这种方法只能对应一个域名，无法处理子域名或者使用通配符，如果是大量的域名，这会让工作变得相当的麻烦，需要脚本来进行处理。

这种方法有另外一种缺陷，就是面对着同一个域名会有大量ip地址或者是使用CDN网络的网站的时候，容易出问题，RouterOS本身缓存的dns解析地址一般来说只有2条，如果客户端使用了其他dns服务器而不是RouterOS本身作为DNS服务器的话有可能会存在这样一种情况：

RouterOS解析域名A，得到ip地址1和ip地址2，并对ip地址1和ip地址2进行了策略路由，客户端从dns服务器解析域名A，得到ip地址3和ip地址4，这种情况下，客户端访问域名A就没法得到正确的策略路由。

对应的方法很简单，只要指定RouterOS作为客户端的dns服务器就可以了。如果是有客户端想使用其他dns服务器绕过策略路由，可以使用dnat进行劫持，如果是使用dnscrypt之类的软件的话，似乎没什么好对策，毕竟就算是gfw也只能阻挡而不能污染或者劫持dnscrypt。

在RouterOS的KVM中安装Linux

2016年9月4日 by Ferrets Leave a Comment

最近耍了一个RouterOS的x86版，自带kvm虚拟机，看起来碉堡了，但是使用了之后只能吐槽说各种bug，就连官方的建立img都会报个“failed to copy files to image(s)”，结果我还是用ultraiso建立了一个空的img文件才能用。openwrt的镜像倒是方便，把kernel也放出来了，启动参数也提供了，在routerOS中一填就OK，没什么大问题。至于安装其他的linux。。。。目前我只成功安装了CentOS7。

在目前的RouterOS版本（6.36.2）中，kvm虚拟机的vnc是用不了的，这让我安装windows的企图破灭了，没GUI玩个蛋蛋。剩下一种可行的链接方式就只有console，这让安装linux变得可能。

但是下载下来的iso镜像不能直接使用，因为很多发行版发布的镜像的grub是默认没有console输出的，这让我们需要重新打包iso镜像。

首先，找到grub的配置文件，视情况而定，有可能是grub.cfg、grub.conf、isolinux.cfg几种，ubuntu的配置文件更加复杂，详细去官方的wiki慢慢研究。

在grub的配置文件中全局的位置（大概是在那一堆label前）插入一句

serial 0 115200

就能够让grub输出到console，至于这时候有没有视频输出，我没试过。这时候routerOS就可以用过console看到grub的输出了。

然后就是kernel的参数，这让kernel启动之后输出到console，这段写在kernel的后面，像这样。

label linux
  menu label ^Install or upgrade an existing system
  menu default
  kernel vmlinuz console=ttyS0,115200
  append initrd=initrd.img

之后就像正常安装linux一样安装就行了，不过只能够用文本的安装向导，详细查询各大发行版。

windows上的log服务器

2015年8月16日 by Ferrets Leave a Comment

这2天想着，家里设备都已经一大堆了，想想看能不能有个统一的管理，反正那台小主机闲着也是闲着，就用来挂下载似乎有点浪费，而且也没那么多东西可以下。

暂时来看，可以玩的有2个，一个是syslog，还有一个是snmp。

先从syslog下手。虽然Google得来的结果把我指向了一个叫做PRTG的这么一个东西，这个其实是个network monitor，跟syslog什么的没什么关系，这个晚点再写文章。

先是找到一个叫做splunk的东西，看起来超专业的，于是很明显我不会用，结果研究了一阵子之后，卸载了。

后来找到一个叫做syslog watcher的，界面简洁（lou）明了，很符合目前所需的要求，而且体积也小很多，于是果断一试。

惯例先上参考：

http://www.howtogeek.com/107069/how-to-remotely-collect-server-events-using-syslog/

https://aacable.wordpress.com/2011/11/29/howto-save-mikrotik-logs-to-remote-syslog-server/（GFWed注意）

安装过程很简单，直接同意并确认“我没看过这么一大串英文”之后安装好运行，然后点击左上角的那个collect，然后服务器端就配置完成，简单的简直丧心病狂。

然后就是客户端的配置：

————————————DD-WRT————————————-

找到“服务”，然后在服务的页面找到syslogd的设定位置，启用并填上远端服务器的地址，然后保存，应用设置。搞定。

————————————-OpenWRT————————————

openwrt也一样简单，系统-系统-日志，填上远程服务器的ip就ok。

保存并应用之后，在syslog服务器上暂时不会看到有输出，因为luci不会自动重启log服务，手动/etc/init.d/log restart或者通过luci来重启那个叫做“log”的服务就可以了。

——————————–RouterOS————————————————–

家里用着一只RouterBoard作为骨干路由，当然是少不了RouterOS，RouterOS的设定比另外2个繁琐一点，不过设定上也细致一点，算是各有个好啦。

找到system-logging，然后从窗口里找到actions页，双击remote来修改设定。

填上log服务器ip，勾上“BSD syslog”，syslog facility选择“local0”，ok确认设定后，切换回“rules”页面，然后将你想要的那些topics要送去remote。

于是所有的log都能在syslog watcher那里看到了。

Ferrets家的Wordpress

杂记

通过DHCP指定mtu

起因

开搞