RouterOS – Ferrets家的Wordpress

在使用动态ip的情况下使用tunnelbroker

2017 年 4 月 13 日 by Ferrets Leave a Comment

最近我家不知为啥，pppoe拨号基本上每天晚上都会断一次，而重连之后由于ip地址变更，6to4的tunnel就中断了，一次两次就算了，每天都一次的话就不能靠手动，等靠自动化来维护。

参考：

https://wiki.mikrotik.com/wiki/Manual:Scripting-examples

https://gist.github.com/pklaus/960672

最开始是打算看看RouterOS能不能在接口启动之后触发运行一次脚本，但是ppp的profile里面的那个up down的scripts触发并没有效果（或许是我用法不对？）于是只能换一种思路，定时检查ip有没有变更，如果变更了，就触发一次配置更新。

两个脚本大概是这样：

脚本check_ip_change：检查ip有没有出现变更：

:global currentIP;
:local newIP [/ip address get [find interface="wan"] address];
:if ($newIP != $currentIP) do={
 /system script run update_sit;
 :set currentIP $newIP;
}

脚本update_sit：执行更新interface属性以及向tunnelbroker通知客户端节点地址变更：

local ipaddr
local users "someuser"
local key "somekey"
local tunnelid "sometunnelid"
:set ipaddr [/ip address get [/ip address find interface=wan] address]
:set ipaddr [:pick $ipaddr 0 ([len $ipaddr] -3)]
/interface 6to4 set sit1 local-address=$ipaddr
/tool fetch url="https://$users:$key@ipv4.tunnelbroker.net/nic/update?hostname=$tunnelid&myip=$ipaddr" mode=https keep-result=no

然后定制每分钟执行一次check_ip_change，然后在下次ip地址变更之后，就可以在1分钟内完成自动修复了。

在RouterOS上使用Tunnelbroker的ipv6服务

2017 年 4 月 13 日 by Ferrets Leave a Comment

参考：https://my.oschina.net/CandyMi/blog/500882

首先，你需要一个公网的ipv4地址，至少是能ping通的，那种能ping得到但是在防火墙后面的情况，我也没试过，这里就不多说。

以下是步骤：

1：前往https://www.tunnelbroker.net/注册一个账号，操作过程不详述；

2：登陆成功后在左侧选择新增一个tunnel

在ipv4的节点上填写你的ipv4地址，截图我是直接扒原博文的，看来他是已经搭好了tunnel再去访问的

根据你的链接速度来选择对应的服务器，选好后create tunnel就可以完成创建了。

3：完成tunnel的创建，接下来就是配置，在example configurations页可以选择大部分系统的配置命令，选择mikrotik的，可以直接给出配置的命令，方便的很。

到此，RouterOS已经能得到一个/64的地址块，可以用这个地址块来分ipv6给内网的设备了。

4：现在你手里已经有了一个/64的地址块，需要注意的是分配给你的地址块和tunnel的客户端地址不属于同一个/64地址块，tunnel的信息页面上有加粗标识，不要搞混了，Routed IPv6 Prefixes才是给子网用的。

在/ipv6/pool新增一个地址池，名字随便起一个，比如说sit，然后把你得到的这个/64地址块拷进去，保存。

5：然后就可以新增一个ipv6的dhcp服务器，pool选择sit，选好应用的接口，至此，RouterOS就可以承担dhcp服务器的作用了，给客户端分配公网的ipv6地址。

6：最后，在/ipv6/route中添加ipv6的默认路由，然后RouterOS以及下面的整个子网都可以访问ipv6网络了。

RouterOS上的pxe服务器

2017 年 2 月 22 日 by Ferrets Leave a Comment

因为骨干路由从OpenWRT换到了RouterOS，所以pxe服务器也得从新搭建。

过程不是很麻烦，但是RouterOS并没有nfs服务器，所以有些linux发行版的netboot需要nfs的，就需要什么额外的机器来当这个nfs服务器了，当然，kvm是个好东西。

可以参考之前的老文https://ferrets.space/2014/04/07/在家里做了个pxe服务器/，有些东西还是自己动手丰衣足食。

目前拿了个debian来做实验：

首先，去下载必要的文件，然后，找到

pxelinux.0
ldlinux.c32
vesamenu.c32
libcom32.c32
libutil.c32
pxelinux.cfg/default
linux
initrd.gz

接下来首先就是要编辑pxelinux的配置文件pxelinux.cfg/default，内容可以参考之前的文章，大概像这样子：

DEFAULT vesamenu.c32
PROMPT 0
MENU TITLE RouterOS PXE-Boot Server

label Ubuntu
        MENU LABEL Debian
        KERNEL debian/linux
        APPEND initrd=debian/initrd.gz
        TEXT HELP
                Starts the Debian Net installer
        ENDTEXT

至于各字段怎么自定义那就自行Google了，保存好配置文件之后呢，就将这么几个文件，丢到RouterOS的文件系统（真他么的不好用）里，比如说这样：

好了之后，就在ip/tftp菜单下面增加tftp文件的配置，比如说像这样：

请求文件名可以和实际文件名不一样，实际文件名是给RouterOS看的，请求文件名是给客户端看的，所以实际文件名可以自行决定。这里要主意的是ip地址填的是客户端的ip地址，而pxe服务器嘛，基本上并没有固定ip，所以ip地址最好还是填ip段。

配置就这么多，接下来只要在客户端执行pxe启动就行了。

在RouterOS上启用基于域名的策略路由

2016 年 12 月 7 日 by Ferrets Leave a Comment

最近在折腾RouterOS，发现了一种相当有趣的用法，可以基于域名来选择路由。
首先，在ip/firewall/address lists中添加地址，地址可以是ip地址或者是域名，如果是域名，则RouterOS会自动进行一次域名解析，例如这样：

可以看到域名被自动解析成了ip地址，而解析出来的记录前面有个D标记，这意味着这是动态的，ip地址记录会随着dns解析记录而变更。

例子中，我就创建了一个叫做twitter.com的address list，这就可以在mangle中做点手脚了，就像这样：

我在prerouting链中添加了一个mangle，对目标地址在twitter.com列表中的路由都进行一个标记，打上一个叫做gfw的路由标记，在打上标记之后呢，就可以在路由表中，添加一个新的路由：

例子中，我有一个名字叫做gfw的接口，作用就不多说，因为是一个ppp的链接，所以gateway可以不填地址，直接填一个接口的名字，RouterOS可以处理这种情况。上图中，就是说所有打着gfw标记的路由，默认路由是走gfw这个接口。至此，全部基本设置已经完成。

这种addresslist配合mangle的用法除了策略路由还有很多其他的用法，比如说想要屏蔽某些网站，不让用户访问，这就可以在route中，选择这个unreachable的类型，这可比用web-proxy什么的实用多了，屏蔽掉的就不仅仅是80端口了，而是整个ip，无论是http还是https或者其他协议之类的，都会屏蔽掉。当然，在一些比较精细的控制方面，比如说允许访问http://www.helloworld.com但是不允许访问http://www.helloworld.com/something这种就无能为力了，只能向L7方面寻求帮助。

这种方法还有类似的，比如说传统一点，在address lists中，不用域名，而是用地址块，比如说这样：

把一整块地址加进去address lists里面，也是可以的，这样更加容易绕开方法里面的一种缺陷，因为这种方法只能对应一个域名，无法处理子域名或者使用通配符，如果是大量的域名，这会让工作变得相当的麻烦，需要脚本来进行处理。

这种方法有另外一种缺陷，就是面对着同一个域名会有大量ip地址或者是使用CDN网络的网站的时候，容易出问题，RouterOS本身缓存的dns解析地址一般来说只有2条，如果客户端使用了其他dns服务器而不是RouterOS本身作为DNS服务器的话有可能会存在这样一种情况：

RouterOS解析域名A，得到ip地址1和ip地址2，并对ip地址1和ip地址2进行了策略路由，客户端从dns服务器解析域名A，得到ip地址3和ip地址4，这种情况下，客户端访问域名A就没法得到正确的策略路由。

对应的方法很简单，只要指定RouterOS作为客户端的dns服务器就可以了。如果是有客户端想使用其他dns服务器绕过策略路由，可以使用dnat进行劫持，如果是使用dnscrypt之类的软件的话，似乎没什么好对策，毕竟就算是gfw也只能阻挡而不能污染或者劫持dnscrypt。

在RouterOS的KVM中安装Linux

2016 年 9 月 4 日 by Ferrets Leave a Comment

最近耍了一个RouterOS的x86版，自带kvm虚拟机，看起来碉堡了，但是使用了之后只能吐槽说各种bug，就连官方的建立img都会报个“failed to copy files to image(s)”，结果我还是用ultraiso建立了一个空的img文件才能用。openwrt的镜像倒是方便，把kernel也放出来了，启动参数也提供了，在routerOS中一填就OK，没什么大问题。至于安装其他的linux。。。。目前我只成功安装了CentOS7。

在目前的RouterOS版本（6.36.2）中，kvm虚拟机的vnc是用不了的，这让我安装windows的企图破灭了，没GUI玩个蛋蛋。剩下一种可行的链接方式就只有console，这让安装linux变得可能。

但是下载下来的iso镜像不能直接使用，因为很多发行版发布的镜像的grub是默认没有console输出的，这让我们需要重新打包iso镜像。

首先，找到grub的配置文件，视情况而定，有可能是grub.cfg、grub.conf、isolinux.cfg几种，ubuntu的配置文件更加复杂，详细去官方的wiki慢慢研究。

在grub的配置文件中全局的位置（大概是在那一堆label前）插入一句

serial 0 115200

就能够让grub输出到console，至于这时候有没有视频输出，我没试过。这时候routerOS就可以用过console看到grub的输出了。

然后就是kernel的参数，这让kernel启动之后输出到console，这段写在kernel的后面，像这样。

label linux
  menu label ^Install or upgrade an existing system
  menu default
  kernel vmlinuz console=ttyS0,115200
  append initrd=initrd.img

之后就像正常安装linux一样安装就行了，不过只能够用文本的安装向导，详细查询各大发行版。

windows上的log服务器

2015 年 8 月 16 日 by Ferrets Leave a Comment

这2天想着，家里设备都已经一大堆了，想想看能不能有个统一的管理，反正那台小主机闲着也是闲着，就用来挂下载似乎有点浪费，而且也没那么多东西可以下。

暂时来看，可以玩的有2个，一个是syslog，还有一个是snmp。

先从syslog下手。虽然Google得来的结果把我指向了一个叫做PRTG的这么一个东西，这个其实是个network monitor，跟syslog什么的没什么关系，这个晚点再写文章。

先是找到一个叫做splunk的东西，看起来超专业的，于是很明显我不会用，结果研究了一阵子之后，卸载了。

后来找到一个叫做syslog watcher的，界面简洁（lou）明了，很符合目前所需的要求，而且体积也小很多，于是果断一试。

惯例先上参考：

http://www.howtogeek.com/107069/how-to-remotely-collect-server-events-using-syslog/

https://aacable.wordpress.com/2011/11/29/howto-save-mikrotik-logs-to-remote-syslog-server/（GFWed注意）

安装过程很简单，直接同意并确认“我没看过这么一大串英文”之后安装好运行，然后点击左上角的那个collect，然后服务器端就配置完成，简单的简直丧心病狂。

然后就是客户端的配置：

————————————DD-WRT————————————-

找到“服务”，然后在服务的页面找到syslogd的设定位置，启用并填上远端服务器的地址，然后保存，应用设置。搞定。

————————————-OpenWRT————————————

openwrt也一样简单，系统-系统-日志，填上远程服务器的ip就ok。

保存并应用之后，在syslog服务器上暂时不会看到有输出，因为luci不会自动重启log服务，手动/etc/init.d/log restart或者通过luci来重启那个叫做“log”的服务就可以了。

——————————–RouterOS————————————————–

家里用着一只RouterBoard作为骨干路由，当然是少不了RouterOS，RouterOS的设定比另外2个繁琐一点，不过设定上也细致一点，算是各有个好啦。

找到system-logging，然后从窗口里找到actions页，双击remote来修改设定。

填上log服务器ip，勾上“BSD syslog”，syslog facility选择“local0”，ok确认设定后，切换回“rules”页面，然后将你想要的那些topics要送去remote。

于是所有的log都能在syslog watcher那里看到了。

一	二	三	四	五	六	日
« 12月
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31