Thủ Thuật Router Mikrotik

THỦ THUẬT ROUTER MIKROTIK
Ngăn chặn trùng lặp ip trong quá trình cấp dhcp sever...............................................................................4
Chặn cập nhập hệ điều hành Windows........................................................................................................5
Khi chạy hotspot gặp sự cố mất internet sẽ đăng xuất user..........................................................................5
Ngắt kết nối WAN đã lên lịch - MikroTik Script........................................................................................6
Ngăn Chặn Người Lạ muốn reset Thiết bị bằng nút reset............................................................................6
Cấu hình nhanh bằng Terminal..................................................................................................................10
Tường Lửa RouterOS Kiểm Soát Truy Cập Một Chiều Giữa Hai Phân Đoạn Mạng IP............................14
RouterOS Nhận Địa Chỉ IPv6....................................................................................................................14
Quản Lý trẻ em Dành cho phụ huynh – Kid Control.................................................................................18
DHCP Rogue.............................................................................................................................................19
Chặn repeat sóng wifi................................................................................................................................20
Fasttrack 1 kết nối.....................................................................................................................................20
CHỈ ĐƯỜNG – ĐỊNH TUYẾN................................................................................................................24
Ví dụ thực hiện định tuyến kết nối đi qua Wan2 khi truy cập youtube.................................................24
QUAY SỐ PPPOE NHIỀU LẦN TRÊN 1 ĐƯỜNG ETHERNET + PCC OS6........................................27
Chống loop ngay tại router
Mô tả: khi phát hiện dữ liệu bị loop giữa các cổng sẽ tự động off cổng bị loop lại và giữ nguyên
cổng đang hoạt động. Hoàn toàn chủ động tránh lỗi cắm sai dây từ người dùng (khách hàng).
Tập lệnh để nâng cấp RrouterBoards tự động.
-) tìm nạp tệp từ bộ định tuyến chính có chứa số phiên bản ROS mới nhất;
-) lấy số phiên bản hiện đang chạy;
-) trích xuất số phiên bản nhỏ và chính và so sánh chúng;
-) nếu phiên bản được tìm nạp từ bộ định tuyến chính mới hơn thì hãy tải xuống gói kết hợp trực
tiếp từ mikrotik.com
-) khởi động lại.
Lúc đầu, bạn nên tạo tệp chứa số phiên bản mới nhất trên bộ định tuyến chính.
Trước tiên định danh phiên bản hiện tại với lệnh dưới đây sẽ dán vào terminal:
/file print file="latestVer";
/file set latestVer.txt content="3.24";
Lập lịch để cập nhập phiên bản phần mềm tự động vào mỗi 3h sáng sau mỗi Tuần:
Sử dụng script dưới đây: lưu ý phiên bản up date Sẽ là “long-term”
/system package update

# set the channel
set channel=long-term
# check for updates
check-for-updates
# we can log the status
:log info "$[get status]"
:if (installed-version != latest-version) do={
download;
} else={
:put "System is already up to date"
}
Terminal:
/system scheduler
add interval=1w name="update auto" on-event="/system package update \r\
\n# set the channel\r\
\nset channel=long-term\r\
\n# check for updates\r\
\ncheck-for-updates\r\
\n# we can log the status\r\
\n:log info \"\$[get status]\"\r\
\n#\r\
\n# check for the new version\r\
\n# if there is a newer version, then download it and reboot the router\r\
\n# you can omit automatic reboot and send email instead\r\
\n# additionally, we can omit the ELSE part\r\
\n# \r\
\n:if (installed-version != latest-version) do={\r\
\n download;\r\
\n} else={\r\
\n :put \"System is already up to date\"\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=aug/10/2022 start-time=03:00:00
Ngăn chặn trùng lặp ip trong quá trình cấp dhcp sever
Với tập lệnh được lập lịch từng phút :
Địa chỉ IP này sẽ được đánh dấu là bận trong danh sách cho thuê. Trong hầu hết các trường hợp,
địa chỉ bận là địa chỉ IP tĩnh của một số máy chủ. Nếu chúng có quá nhiều máy khách trong
mạng, mọi hợp đồng thuê không khả dụng có thể gây ra sự cố cho các hoạt động hàng ngày.
:local busyaddr [ip dhcp-server lease find status="busy"] :local i :foreach i in $busyaddr do={
/ip dhcp-server lease remove $i; }
Terminal:
/system scheduler
add interval=15m name=DHCP- on-event=":local busyaddr [ip dhcp-server lease fi\
nd status=\"busy\"]\r\
\n:local i\r\
\n:foreach i in \$busyaddr do={\r\
\n/ip dhcp-server lease remove \$i;\r\
\n}" policy=\
start-time=startup
Chặn cập nhập hệ điều hành Windows
Bản cập nhật Windows rất tốt cho các hệ điều hành như windows vì chúng sửa được các lỗi xảy
ra, nhưng nếu windows chúng ta sử dụng sử dụng windows lậu hoặc crack windows thì tất nhiên
chúng sẽ bị đọc là windows lậu hoặc xuất hiện thông báo xác thực Windows chính hãng (WGA).
nếu các cửa sổ chúng tôi sử dụng có cập nhật.
Windows thường cập nhật, đặc biệt là trong Windows 8 và Windows 10, khi kết nối với internet,
chúng ta có thể giải quyết điều này bằng cách chặn nó trên Mikrotik, chỉ cần chạy script bên dưới
trong New Terminal, sau đó một quy tắc mới sẽ được tạo trong Firewall , phục vụ cho chặn kết
nối với các cửa sổ. cập nhật.
/ip firewall raw

add action=drop chain=prerouting comment="Blok Windows Update" protocol=tcp tls-
host=windowsupdate.microsoft.com
host=download.microsoft.com
host=test.stats.update.microsoft.com
host=ntservicepack.microsoft.com
host=*.download.windowsupdate.com
host=*.update.microsoft.com
host=download.windowsupdate.com
host=*.windowsupdate.microsoft.com
Khi chạy hotspot gặp sự cố mất internet sẽ đăng xuất user
Tự động đăng xuất người dùng khi Internet bị ngắt với công cụ netwatch và Script sau:
Tập lệnh này hữu ích cho việc đăng xuất tự động của người dùng và cookie khi internet bị ngắt
hoặc hoàn toàn chết
1. Mở Winbox, nhấp vào Công cụ> Netwatch

2. Nhấp vào dấu "+" để thêm một mặt hàng mới
3. Máy chủ: nhập địa chỉ ip hiếm khi bị sập ví dụ Google DNS 8.8.8.8
4. Nhấp vào tab Xuống

5. sau đó nhập On Down: với tập lệnh bên dưới
# SCRIPT REMOVE USER ACTIVE

:local activelist [/ip hotspot active find]
:foreach i in=$activelist do={
/ip hotspot active remove $i
}
# SCRIPT REMOVE COOKIE ACTIVE

:local activelist [/ip hotspot cookie find]
:foreach i in=$activelist do={
/ip hotspot cookie remove $i
}
Ngắt kết nối WAN đã lên lịch - MikroTik Script
nên được thử nghiệm trong môi trường của bạn và sử dụng nó bằng rủi ro của riêng mình!
Chạy terminal dòng lệnh dưới đây:
Lưu ý 3h sáng sẽ tắt wan
/ system scheduler
add name="sched_disconnect" on-event=pppoe_dis start-date=jan/01/2006 start-time=03:00:00
interval=1d \
comment="move daily T-DSL-disconnect to late night" disabled=yes
/system script
add name=pppoe_dis source={/interface pppoe-client disable [find name="t-dsl"]
:delay 10
/interface pppoe-client enable [find name="t-dsl"]
:log info "Script pppoe_dis - scheduled T-DSL-disconnect executed."
}
Ngăn Chặn Người Lạ muốn reset Thiết bị bằng nút reset
Tính năng này được hỗ trợ trên các dòng router:
 RBcAP-2nD (cAP)
 RBcAPGi-5acD2nD (cAP ac)
 RBwsAP5Hac2nD (wsAP ac lite)
 RB750Gr3 (hEX)
 RB760iGS (hEX S)
 RB912R-2nD (Bộ LtAP mini, LtAP mini LTE / 4G)
 RBD52G-5HacD2HnD (hAP ac ^ 2)
 RBLHGR (LHG LTE / bộ 4G)
 RBSXTR (bộ SXT LTE / 4G)
 CRS328-4C-20S-4S + RM
 CRS328-24P-4S + RM
 CCR1016-12G r2
 CCR1016-12S-1S + r2
 CCR1036-12G-4S r2
 CCR1036-8G-2S + r2
 RBD53G-5HacD2HnD (Lâu đài)
 RBD53GR-5HacD2HnD (hAP ac ^ 3)
Cập nhập trên wiki.mikrotik.com ngày 12 tháng 10 năm 2020, lúc 10:08.
Bước 1. Chạy Scipt khi người lạ ấn nút seset.

Thêm lệnh sau vào event :
/system routerboard settings set protected-routerboot=enabled
Bước 2. Lập lịch để thực thi khi nút reset bị tác động
Mô tả : Khi lệnh này được chạy lần đầu có thể sẽ làm thiết bị của bạn shutdown. Đừng lo, 5s sau
đó hãy rút nguồn và cắm lại để khởi động lại thiết bị.
Người lạ chỉ cần tác động ấn nút reset sẽ lập tức làm router tắt nguồn và lưu ý phải rút dây nguồn
cắm lại thì router mới khởi động lại. Sẽ rất an toàn cho ai đó có ý xấu muốn xóa cấu hình của bạn
bằng cách này.
Sau khi khởi động lên Router sẽ được đặt tên thành: BOOTLOADER.
Để reset mất hoàn toàn cấu hình phải giữ nút reset 10 phút hoặc phải có pass đăng nhập winbox.
Hãy giữ bảo mật tốt cho router của bạn.
Coppy đoạn mã dưới đây vào on event tại phần lập lịch:
:local logprotectedrouterboot;
:local logreformatholdbutton;
:local logreformatholdbuttonmax;
:set logprotectedrouterboot "$[/system routerboard setting get protected-routerboot]"
:set logreformatholdbutton "$[/system routerboard setting get reformat-hold-button]"
:set logreformatholdbuttonmax "$[/system routerboard setting get reformat-hold-button-max]"
:if ($logprotectedrouterboot ="enabled") do={
/system identity set name="BOOTLOADER > Min:$logreformatholdbutton - Max:
$logreformatholdbuttonmax"
/system routerboard setting set protected-routerboot disabled
/system routerboard setting set reformat-hold-button=20s
/system routerboard setting set reformat-hold-button-max=10m
:delay 5s
/system shutdown
}
Cấu hình nhanh bằng Terminal

Bản này được xuất ra từ router 750Gr3, với mọi loại router hãy coppy pass từng phần:
Thay phần bôi đỏ với những cấu hình phù hợp của bạn.
/interface bridge
add name=BridgeLan
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1-novlan \
password=pass user=user
/interface vlan
add interface=ether1 name=vlanViettel vlan-id=35
add add-default-route=yes disabled=no interface=vlanViettel name=\
pppoe-out1-vlan password=pass user=user
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=BridgeLan lease-time=2h10m \
name=dhcp1
/ip address
add address=192.168.1.1/24 interface=BridgeLan network=192.168.1.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.1.0/24 list=LOCAL-IP
/ip firewall filter
add action=drop chain=forward comment=\
"Memcrashed - Amplification Attacks UDP 11211" dst-port=11211 protocol=\
udp
add action=jump chain=forward comment="Anti DDoS Attacks" connection-state=\
new jump-target=block-ddos
add action=drop chain=forward connection-state=new dst-address-list=ddosed \
src-address-list=ddoser
add action=return chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
10m chain=block-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
10m chain=block-ddos
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment=\
"Mark Source ip port scanner to Address list " protocol=tcp psd=21,3s,3,1
address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
tcp-flags=fin,syn
address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
tcp-flags=syn,rst
address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=\
tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp \
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop port scanners" src-address-list=\
"port scanners"
add action=drop chain=input comment="drop ftp BRUTE FORCErs" dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="drop ssh BRUTE FORCErs" dst-port=22-23 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=22-23 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \

address-list-timeout=1m chain=input connection-state=new dst-port=22-23 \
protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=\
22-23 protocol=tcp src-address-list=ssh_blacklist
/ip firewall mangle
add action=mark-connection chain=prerouting connection-bytes=512000-0 \
connection-rate=512k-100M dst-address-list=!LOCAL-IP new-connection-mark=\
KetNoiNang src-address-list=LOCAL-IP
add action=mark-connection chain=prerouting connection-mark=!KetNoiNang \
dst-address-list=!LOCAL-IP new-connection-mark=KetNoiNhe \
src-address-list=LOCAL-IP
add action=mark-packet chain=prerouting connection-mark=KetNoiNhe \
new-packet-mark=GT-Nhe passthrough=yes
add action=mark-packet chain=prerouting connection-mark=KetNoiNang \
new-packet-mark=GT-Nang passthrough=yes
/queue tree
add name=upload parent=global priority=1
add name=Download parent=BridgeLan priority=1
add name=U_nhe packet-mark=GT-Nhe parent=upload priority=1 queue=\
pcq-upload-default
add max-limit=5M name=U_Nang packet-mark=GT-Nang parent=upload queue=\
pcq-upload-default
add name=D_Nhe packet-mark=GT-Nhe parent=Download priority=1 queue=\
pcq-download-default
add max-limit=5M name=D_Nang packet-mark=GT-Nang parent=Download queue=\
pcq-download-default
/ip firewall nat
# pppoe-out1-vlan not ready
add action=masquerade chain=srcnat out-interface=pppoe-out1-vlan
# pppoe-out1-novlan not ready
add action=masquerade chain=srcnat out-interface=pppoe-out1-novlan
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes

set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Bangkok
/system ntp client
set enabled=yes primary-ntp=202.65.114.202 secondary-ntp=212.26.18.41 \
server-dns-names=asia.pool.ntp.org
/system package update
set channel=long-term
/system scheduler
add interval=1d name=SETTING-TIMEZONE on-event="/system scheduler\r\
\nadd interval=1d name=SETTING-TIMEZONE on-event=\"#======================\
=======\\\r\
\n=================\\r\\\r\
\n# Auto Repair TimeZone and clock By BuanaNET\\r\\\r\
\n#==============================================\\r\\\r\
\n# Waktu Indonesia Barat (WIB) = +07:00\\r\\\r\
\n# Waktu Indonesia Tengah (WITA) = +08:00\\r\\\r\
\n# Waktu Indonesia Timur (WIT) = +09:00 \\r\\\r\
\n#==============================================\\r\\\r\
\n# Ganti \\\"+07:00\\\" sesuaikan dengan daerah masing-masing\\r\\\r\
\n#==============================================\\r\\\r\
\n/system clock manual set time-zone=\\\"+07:00\\\";\\r\\\r\
\n/system clock set time-zone-autodetec=no;\\r\\\r\
\n/system clock set time-zone-name=\\\"manual\\\";\\r\\\r\
\n/ip cloud set update-time=no;\\r\\\r\
\n:local ntpServer \\\"asia.pool.ntp.org\\\";\\r\\\r\
\n:local primary [resolve \\\$ntpServer];\\r\\\r\
\n:local secondary [resolve \\\$ntpServer];\\r\\\r\
\n/system ntp client set primary-ntp \\\$primary;\\r\\\r\
\n/system ntp client set secondary-ntp \\\$secondary;\\r\\\r\
\n/system ntp client set enabled=yes;\" policy=\\\r\
\nftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-t\
ime=startup" policy=\
start-time=startup
/interface bridge port
add bridge=BridgeLan interface=ether2

Tường Lửa RouterOS Kiểm Soát Truy Cập Một Chiều Giữa Hai Phân Đoạn Mạng IP
Mạng yêu cầu 192.168.10.0/24 có thể truy cập 192.168.90.0/24, nhưng 192.168.90.0/24 không
thể truy cập 192.168.10.0/24. Các cài đặt này liên quan đến kiểm soát trạng thái kết nối TCP / IP
Đầu tiên cho phép các kết nối đã thiết lập và các kết nối liên quan đi qua, tức là kết nối-trạng thái
= đã thiết lập, có liên quan
/ip firewall filter add action=accept chain=forward connection-state=established,related
Tạo một phân đoạn mạng cho phép 192.168.10.0/24 truy cập vào bất kỳ mạng nào
/ip firewall filter add action=accept chain=forward src-address=192.168.10.0/24
Cấu hình khóa ở đây, cấm mạng 192.168.90.0/24 khởi tạo yêu cầu mạng mới đến mạng
192.168.10.0/24, tức là kết nối-trạng thái = mới
/ip firewall filter add action=drop chain=forward connection-state=new src-

address=192.168.90.0/24 dst-address=192.168.10.0/24
Các quy tắc trên phải được thêm theo thứ tự. Cấu hình này cung cấp bảo vệ truy cập một chiều
để bảo vệ phân đoạn mạng IP được chỉ định. Cấu hình này chỉ hợp lệ cho các kết nối TCP .
RouterOS Nhận Địa Chỉ IPv6
Hiện tại, ba nhà khai thác lớn đã cấp phát địa chỉ IPv6 cho băng thông rộng gia đình. Cách lấy và
gán địa chỉ IPv6 cho các máy chủ trên mạng nội bộ thông qua bộ định tuyến RouterOS được giải
thích ngắn gọn tại đây.
Trước hết, bạn cần xác nhận rằng RouterOS của bạn đã cài đặt và kích hoạt gói chức năng IPv6
Hệ thống RouterOS của phần cứng MikroTik có gói chức năng IPv6 nhưng nó bị tắt theo mặc
định, bạn cần chọn enable trong gói hệ thống và khởi động lại bộ định tuyến.
Sau khi kích hoạt xong, tùy chọn IPv6 sẽ xuất hiện trong menu bên trái winbox
ví dụ về quay số bộ định tuyến RouterOS đã hoàn thành truy cập Internet quay số thông qua
PPPoE, hãy nhập trình đơn IPv6-> DHCPv6-client, thêm giao diện quay số của pppoe-out2, hãy
chọn tiền tố cho phương thức yêu cầu và nó sẽ nhận được Thêm địa chỉ IPv6 vào nhóm địa chỉ
"ipv6", độ dài tiền tố nhóm địa chỉ là 64 (Độ dài tiền tố nhóm), thêm DNS của nhà cung cấp dịch
vụ (Sử dụng DNS ngang hàng) và tuyến đường mặc định (Thêm tuyến đường mặc định):
Sau khi quá trình bổ sung hoàn tất, khi Trạng thái: ràng buộc nghĩa là đã lấy được IPv6 thành
công, nếu không có nghĩa là nhà mạng chưa cấp phát IPv6.
Sau đây là gán địa chỉ IP cho mạng nội bộ và sử dụng phương pháp SLAAC (Gán địa chỉ tự
động không trạng thái) để gán địa chỉ IPv6 cho các máy chủ của mạng nội bộ.
Vào menu IPv6-> địa chỉ, thêm mục địa chỉ, tham số Địa chỉ là mặc định, Từ nhóm là nhóm địa
chỉ ipv6 vừa rồi, cổng mạng nội bộ interface = ether1-LAN, bật EUI64 (địa chỉ IPv6 được tạo
thông qua card mạng Địa chỉ MAC), tất nhiên Bạn có thể chọn không theo EUI64, tùy theo nhu
cầu cụ thể.
Phương pháp phân bổ ND, hãy đảm bảo rằng Quảng cáo DNS trong menu IPv6-> ND được
chọn, nó được sử dụng để phân bổ DNS khi ND là máy chủ lưu trữ
Tất cả những gì còn lại là đảm bảo rằng giao thức internet của máy tính Windows phiên bản 6
(TCP / IPv6) có trên window của bạn.
Quản Lý trẻ em Dành cho phụ huynh – Kid Control
Có giao diện lập thời gian biểu được sử dụng internet .
Chuyển qua Tab – Devices sẽ thấy các thiết bị trong mạng của chúng ta.
click đôi vào thiết bị muốn quản lý và sau đó coppy.
có bảng giao diện trên : xác định đúng thông tin --- apply.
DHCP Rogue
Để biến một modem đã sử dụng thành một điểm truy cập, máy chủ DHCP trên modem phải được
tắt. Nếu chúng ta quên tắt DHCP Server trên Modem thì sẽ gặp rắc rối với client, ví dụ như client
sẽ nhận được Địa chỉ IP tự động (DHCP Client) từ Modem DHCP Server. Chúng ta có thể tránh
vấn đề này bằng cách định cấu hình Mikrotik. Có thể thấy một ví dụ trong cấu trúc liên kết ở
trên, có một Modem đã sử dụng được kết nối với Ether 2 và Ether 3 trên Mikrotik sau đó có một
Modem khác được kết nối song song với một Modem được kết nối trực tiếp với Mikrotik.
Để ngăn chặn Multile DHCP Server hoặc DHCP Rogue trên Ether 2 và Ether 3, chúng ta có thể
tạo quy tắc trong menu Bridge.
/interface bridge filter

add action=accept chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip out-
interface=ether2 src-port=68
add action=accept chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip out-
interface=ether3 src-port=68
add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip src-port=68
Chặn repeat sóng wifi

Có rất nhiều thiết bị có chức năng chuyển tiếp sóng wifi. Với mục đích mở rộng phủ sóng. Tuy
nhiên lỗi phát sinh không mong muốn từ các thiết bị này rất nhiều.
Và nếu bạn không muốn hệ thống wifi của mình lại bị repeat lại do một ai đó không có sự cho
phép của bạn mà thực hiện. Trên router của mikrotik sẽ thiết lập lệnh này :
Fasttrack 1 kết nối

Nguyên lý thực thi:
1. Tạo ra list ip đích đến sẽ đc tối ưu hiệu năng kết nối
2. Xác định kết nối đến list ip đã tạo
3. Fasttrack kết nối đó.
Ý tưởng để ưu tiên mạnh mẽ cho kết nối đi mạng xã hội chúng ta thực hiện:
Từng bước sau : Bước 1: lập list IP lan và IP Wan.
Code:
add address=192.168.10.0/24 list=LAN
add address=e5780f2c036.sn.mynetname.net list=Wan

Bước 2: chạy code để bắt kết nối đến mạng xã hội bằng terminal.
/ip firewall layer7-protocol
add name=MXH regexp=\
"^..+\\.(zalo|.zadn.vn|log.api.zaloapp.com|.zalo.me|youtube.com|googlevideo.com|akamaihd.net|youtu.be|facebook.com|
facebook.net|fbcdn.com|fbsbx.co\
m|fbcdn.net|fb.com|tfbnw.net|tiktok.com|tiktokv.com|tiktokcdn.com|byteovers\
ea.com|ibyteimg.com|ibytedtos.com|myqcloud.com).*\$"
Bước 3: cài đặt trên giao diện:

Code nhanh:lệnh này chạy trong mangle có hiệu quả tối đa kết nối đến mạng xã hội.
/ip firewall mangle
add action=add-dst-to-address-list address-list=MXH-IP-list \
address-list-timeout=none-dynamic chain=prerouting connection-mark=\
no-mark dst-address-list=!Wan layer7-protocol=*3 src-address-list=LAN
add action=mark-connection chain=prerouting dst-address-list=MXH-IP-list \
new-connection-mark=KetNoiMXH
add action=fasttrack-connection chain=prerouting connection-mark=KetNoiMXH
CHỈ ĐƯỜNG – ĐỊNH TUYẾN

Có nhiều trường hợp cần chỉ đường:
 Lớp mạng X qua đường wan1, lớp mạng Y qua đường Wan2.
 Khi truy cập vào dịch vụ Z thì đi qua đường wan1.
 Chặn các phân đoạn,lớp mạng thấy nhau trong cùng router.
Nguyên tắc cơ bản cần lắm để thực hiện bất kỳ chỉ đường nào đó là :
1. Xác định ip nguồn , ip đích. Là dải ip của web của app bằng content, l7 protocol hoặc cổng TCP,UDP.
2. Đánh dấu kết nối đến ip đích và chỉ đường cho kết nối đó bằng “định danh”.
3. Thực thi “định danh” với bảng Router
Ví dụ thực hiện định tuyến kết nối đi qua Wan2 khi truy cập youtube.
Bước 1.Ip nguồn là ip “local-lan” của bạn.
Ví dụ bạn xác định các kết nối đi qua youtube bằng l7 protocol
Dán vào terminal lệnh dưới:
/ip firewall layer7-protocol
add name=Youtube regexp=\
"^..+\\.(youtube.com|googlevideo.com|akamaihd.net|youtu.be).*\$"
Xác định địa chỉ đến Youtube:

Đánh dấu kết nối đến Youtube qua Mangle

Định danh kết nối đến youtube: tiếp tục với mangle
Thực hiện chỉ đường với bảng router:
QUAY SỐ PPPOE NHIỀU LẦN TRÊN 1 ĐƯỜNG ETHERNET + PCC OS6
Lưu ý: có thể bạn không thực hiện quay pppoe thành công là do khu vực của bạn đã bị fix.
Chúng tôi không chịu trách nhiệm trước hành vi mang tính chất gian lận đường truyền như trên.
khuyến cáo ! thủ thuật này chỉ để tham khảo hoặc nhằm mục đích tiết kiệm port trên router.
Sau khi khai báo DNS, bridge, add port, đặt ip BridgeLan= 192.168.10.1/24
Bắt đầu thực hiện khởi Tạo: VRRP
1. Trước tiên cần đặt Ip cho cổng Ethernet1 :192.168.168.1/24 và chạy DHCP ether1
/interface vrrp
add interface=ether1 mtu=1480 name=vrrp1 preemption-mode=no priority=255 \
vrid=10
vrid=11
vrid=12
/ip pool
add name=dhcp_pool4 ranges=192.168.168.2-192.168.168.254
/ip address
add address=192.168.168.1/24 interface=ether1 network=192.168.168.0
add address=192.168.168.2 interface=vrrp1 network=192.168.168.2
/ip dhcp-server
add address-pool=dhcp_pool4 disabled=no interface=ether1 name=dhcp3
2. Đặt IP cho vrrp1= 192.168.168.2/32
Tương tự như trên mở thêm vrrp2, vrrp3,
Bước tiếp theo quay số pppoe trên với các vrrp đã khai báo.
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=12345678 user=ductv_ld01
add add-default-route=yes default-route-distance=2 disabled=no interface=\

vrrp1 name=pppoe-out2 password=12345678 user=ductv_ld01
3. Bước Tiếp theo: Cân bằng tải gộp băng thông với pcc ở OS6
Mở terminal và dán lệnh dưới vào :

add address=192.168.10.0/24 list=LOCAL-IP
/ip firewall mangle
add action=mark-connection chain=input in-interface=pppoe-out1 \
new-connection-mark=cm-pppoe-out1 passthrough=yes
add action=mark-connection chain=prerouting dst-address-list=!LOCAL-IP \
dst-address-type=!local new-connection-mark=cm-pppoe-out1 passthrough=yes \
per-connection-classifier=both-addresses-and-ports:4/0 src-address-list=\
LOCAL-IP
LOCAL-IP
LOCAL-IP
LOCAL-IP
add action=mark-routing chain=prerouting connection-mark=cm-pppoe-out1 \
dst-address-list=!LOCAL-IP new-routing-mark=to-pppoe-out1 passthrough=yes \
add action=mark-routing chain=output connection-mark=cm-pppoe-out1 \
new-routing-mark=to-pppoe-out1 passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip route
add check-gateway=ping distance=1 gateway=pppoe-out1 routing-mark=\
to-pppoe-out1
to-pppoe-out2
to-pppoe-out3
to-pppoe-out4
add check-gateway=ping distance=1 gateway=pppoe-out1
!Chúc bạn may mắn với cấu hình này!

Thủ Thuật Router Mikrotik

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Thủ Thuật Router Mikrotik

Uploaded by

Copyright:

Available Formats

THỦ THUẬT ROUTER MIKROTIK

Chống loop ngay tại router

Tập lệnh để nâng cấp RrouterBoards tự động.

/system package update

Chặn cập nhập hệ điều hành Windows

/ip firewall raw

1. Mở Winbox, nhấp vào Công cụ> Netwatch

4. Nhấp vào tab Xuống

# SCRIPT REMOVE USER ACTIVE

# SCRIPT REMOVE COOKIE ACTIVE

Ngắt kết nối WAN đã lên lịch - MikroTik Script

Bước 1. Chạy Scipt khi người lạ ấn nút seset.

Cấu hình nhanh bằng Terminal

add action=add-src-to-address-list address-list=ssh_stage3 \

set www disabled=yes

add bridge=BridgeLan interface=ether4

/ip firewall filter add action=accept chain=forward connection-state=established,related

/ip firewall filter add action=accept chain=forward src-address=192.168.10.0/24

/ip firewall filter add action=drop chain=forward connection-state=new src-

RouterOS Nhận Địa Chỉ IPv6

Quản Lý trẻ em Dành cho phụ huynh – Kid Control

/interface bridge filter

Chặn repeat sóng wifi

Fasttrack 1 kết nối

Từng bước sau : Bước 1: lập list IP lan và IP Wan.

add address=192.168.10.0/24 list=LAN

add address=e5780f2c036.sn.mynetname.net list=Wan

add name=MXH regexp=\

Bước 3: cài đặt trên giao diện:

add action=add-dst-to-address-list address-list=MXH-IP-list \

address-list-timeout=none-dynamic chain=prerouting connection-mark=\

no-mark dst-address-list=!Wan layer7-protocol=*3 src-address-list=LAN

add action=mark-connection chain=prerouting dst-address-list=MXH-IP-list \

add action=fasttrack-connection chain=prerouting connection-mark=KetNoiMXH

CHỈ ĐƯỜNG – ĐỊNH TUYẾN

/ip firewall layer7-protocol

add name=Youtube regexp=\

Xác định địa chỉ đến Youtube:

Đánh dấu kết nối đến Youtube qua Mangle

Thực hiện chỉ đường với bảng router:

2. Đặt IP cho vrrp1= 192.168.168.2/32

Tương tự như trên mở thêm vrrp2, vrrp3,

add add-default-route=yes default-route-distance=2 disabled=no interface=\

/ip firewall address-list

!Chúc bạn may mắn với cấu hình này!

You might also like