在外面要访问公司/家里的资源时，需要使用VPN来连接到内网。通常的方式是使用PPTP和L2TP VPN连入。

一、PPTP和L2TP服务器配置

1、 配置 PPTP和L2TP VPN ip地址池（PPTP和L2TP共用一个地址池）。Winbox点击“ip” --- “Pool”，打开IP Pool，点击“+”，添加VPN ip地址池。

Name：比如VPN-Remote

Address：比如192.168.2.1-192.168.2.254

Next Pool：none

Routeros（ROS）X86的由于没有重置出厂值的按钮，忘记了密码，而且还要保留配置，就会变得比较麻烦，只能通过删除文件的方法来重置密码破解密码。

操作方法：

（我这边以ROS 6.47.9版本为例）

1、实体机可以通过Windows PE使用DiskGenius删除 rw/store/user.dat 即可。虚拟化使用DiskGenius专业版加载vmdk镜像，之后直接删除 rw/store/user.dat 即可。（Windows PE无法直接访问linux分区格式必须借助工具）。老版本的ROS 6.x到这步重启即可

2、新版本ROS，比如这边演示的6.47.9，还需要删除  rw/store/user.idx 文件和 rw/store/user 文件夹。

想把家里的RouterOS（ROS）从6.40.1升级到6.42.9，发现无法通过Winbox升级，查询原因是由于系统盘太小（60M）的原因无法更新system组件，重启ROS后winbox查看Files下还有组件安装包。

找了一圈网上大部分ROS6以上版本，系统盘都是60M的。

升级操作：

（这边以ESXi下ROS 6.40.1升级6.42.9，说说如何使用ISO升级。）

1、到官网下载新版本的ROS X86  CD Image的ISO文件，下载完ISO文件，把该文件上传到ESXi数据盘 官网地址

2、关闭要升级的ROS并编辑该虚拟机配置。选中该虚拟机，鼠标右击，选择“编辑设置”。

3、点击“添加其他设备” ，选择 “CD/DVD驱动器”

一、环境介绍

1、Dell OP7010和网卡Intel I350T4安装ESXi6.5，虚拟化RouterOS（以下简称ROS），空载功耗控制在30瓦以内

2、ROS当作主路由，网关IP：192.168.88.1，内网 IP：192.168.88.254，用于web页面访问。

3、绑定域名做动态DDNS解析动态公网IP

二、端口映射

1、使用Winbox打开ROS路由器，打开IP --> Firewall --> NAT,创建一条dstnat策略，其中“Chain”设为dstnat，“Dst.Address”设为ADSL获取到的公网IP地址，“Protocol”设为6（tcp），“Dst.Port”设为1080，“Action”设为dst-nat，“To Address”设为192.168.88.254，“To Ports”设为80。

RouterOS（以下简称ROS）使用虚拟路由冗余协议Virtual Router Redundancy Protocol（以下简称VRRP）创建虚拟网关来实现双机热备功能。

VRRP协议原理:

VRRP协议可以通过多台路由器组成一个网关集合，使用VRRP虚拟网关作为终端用户的网关，当VRRP master路由器停止运行的时候，VRRP优先级最高的backup路由器就会重新生成为master状态，所有网络会切换到该路由器上。vrrp是master路由广播所有backup路由器。当backup收不到master的数据时，触发backup路由变为新的master路由。

实验环境和拓扑图：

主ROS：R1，备ROS：R2，双线公网，一台交换机

RouterOS（以下简称ROS）对于NAT类型设置不像爱快iKuai，OpenWrt/Lede一样有直接的设置可以直接设置成FULLCONE NAT（NAT1），至于为什么要设置成NAT1呢，大部分是现在流行的挂机的要求。其实对于ROS来说，要实现NAT1对于了解ROS和NAT类型的高手来说非常简单。

完全圆锥形NAT（FullCone NAT、NAT1）

所有来自相同内部IP地址和端口的请求均被映射到相同的外部IP地址和端口，当映射关系建立之后，任意外部主机均可随时通过外部IP地址和端口向内部主机发送UDP报文，由于对外部请求的来源无任何限制，因此这种方式虽然足够简单但却不那么安全。

ROS配置

1、基本的上网配置，pppoe设置，masquerade上网设置等等，这边就不详细介绍了，请看我以前的文章

去年一个做网商的朋友找到我要搞定多方异地组网实现互通，还要实现在家办公。

当前环境是A总部，RouterOS（ROS-A）当作主路由，使用的是CCR1009，100M专线；B工厂，RouterOS（ROS-B）主路由，使用的是J1900软路由，200M商宽；C办事处，RouterOS（ROS-C）主路由，使用的是J1900软路由，200M商宽，各自上网不互通。

一、新网络规划

经过和朋友的商量，需要不花钱的方案，对安全性也没太多的要求，只求能组网能用。

1、各个区域独自上网

MikroTik RouterOS（以下简称ROS）自由协议EoIP（Ethernet over IP）隧道是一个建立在两个ROS路由器的IP传输层之间的以太网隧道协议。EoIP Tunnel类似以太网传输，当路由器的桥接功能被启用后，所有的以太网数据流量（所有的以太网协议）将被桥接就如同在两个路由器之间有物理交换机接口和光纤收发器一样。

一、网络拓扑和环境

ROS1和ROS2网络间实现互通互联，ROS1为总出口，上网和DHCP服务器；ROS2为异地分部，通过EoIP Tunnel接入总部ROS1，实现通过ROS1分配DHCP地址，以及上网。

模拟环境介绍：

1、使用PPPoE公网IP模拟专线固定IP

RouterOS（以下简称ROS）建立SSTP服务器的方法，主要讲讲ROS建立SSTP VPN服务器，以及客户端连接。

SSTP又称安全套接字隧道协议，是一种应用于互联网的协议。它可以创建一个在HTTPS上传送的VPN隧道，从而消除与基于PPTP（点对点隧道协议）或L2TP（第2层隧道协议）VPN连接有关的诸多问题。

一、申请域名和SSL证书

前提是需要有自己的独立域名和给域名申请SSL证书。

本文使用自己的域名cdn.77bx.com，在腾讯云免费申请的TrustAsia TLS RSA CA（1年），由于域名已经在腾讯云云解析了，所以很简单的就申请下来了。

UPNP介绍：

UPNP的全称是Universal plug-and-play(通用即插即用).UPnP是针对智能家电、无线设备以及各种外观尺寸的个人电脑的普遍对等（peer-to-peer）网络连接而设计的一种架构。它旨在为家庭、小型企业、公共场所中或连接到互联网的ad-hoc网或未管理网络提供易于使用、灵活且基于标准的连接。

对于一般用户来说碰到需要开启UPNP的情况是迅雷，BT，PT之类的下载软件。

注意：RouterOS（ROS）的UPnP开启后，会自动映射端口，所有生成的端口映射可以在IP->Firewall->NAT中查询，但是由于UPnP自动生成的端口映射没有老化时间，需要脚本才能删除，这边不介绍删除脚本。

ROS开启UPNP方法：

1、Winbox，IP->UPnP，勾上Enabled和Allow To Disable External Interface，然后点击OK。