我之前写过文章《RouterOS建立SSTP服务器》将如何通过SSL证书搭建SSTP服务器，但是由于SSL证书时间有效期比较短，每年需要更新证书（RouterOS和客户端都要更新证书）比较麻烦，所以这次我通过RouterOS的自签名证书搭建SSTP VPN服务，自签名证书可以达到10年不需要更新证书。

一、创建自签名证书

1、生成根证书。

System --> Certificates --> + 

RouterOS需要禁止局域网内某个设备通过IPv6上网。

操作方法

使用Winbox，IPv6 --> Firewall --> Filter Rules --> + ，新增一条filter规则即可。

Chain：forward

Out. Interface：pppoe-out1（上网的pppoe拨号）

Src. MAC Address：C8:15:4E:8F:DB:3F（设置的MAC地址）

Action：drop

RouterOS命令

/ipv6 firewall filter add action=drop chain=forward out-interface=pppoe-out1 src-mac-address=C8:15:4E:8F:DB:3

本教程使用RouterOS实现多区域异地组网，已在真实环境部署运行还是比较稳定。

一、新网络规划

1、原网络改动比较少

2、各区域互通（内网可以互访）

3、各区域单独上网

4、各区域VPN可以连接到内网，并可以通过其他出口上网

Routeros v7.1 beta2开始增加了对WireGuard的支持，WireGuard被视为下一代VPN隧道协议，是类似于gre、ipip隧道的无状态VPN隧道，基于UDP协议。

一、实验环境和拓扑图

ROS-A和ROS-B（Ros V7.2.3）使用公网IP（教程隐藏了IP，用1.1.1.1和2.2.2.2展示）实现网络间互通互联。

RouterOS V6.X版本通过TrafficCounter软件查看局域网IP流量。

操作方法

1、使用Winbox登陆RouterOS后台，IP -> Accounting，勾选 Enable Accounting，Account Local Traffic（进出路由器本身的流量）按需求勾选，Threshold记录流量的IP数，Web Access开启允许访问IP流量记帐表的客户端IP。

本文主要讲RouterOS对内网DNS解析的劫持，包括使用公网DNS解析的设备。

1、DNS劫持

1.1 DNS劫持就是通过技术手段，来控制用户解析域名的IP地址。如www.77bx.com正常解析返回是1.1.1.1，现在需要内网用户访问www.77bx.com解析IP返回192.168.1.2，进而控制访问www.77bx.com所打开的页面。

1.2 内网做DNS劫持，既减少了公网访问的连接数，又可以控制内网用户对于域名的访问，比如公司禁止访问视频网站，那么就可以劫持到内网的一个提示页面上。

问题描述

很多人将光猫改为桥接模式，使用RouterOS路由器拨号后，发现不能再通过路由器访问光猫后台了。

问题分析

光猫改桥接后，会把PPPoE的帧直接透传给上行接口，对于RouterOS路由器来说，就像直接用一根网线连接了远端PPPoE服务器，所以当我们访问192.168.1.1时，数据直接发送给了远端服务器，所以无法访问光猫。

本文主要使用RouterOS搭建NTP时间服务器的方法，因为现在越来越多的设备需要使用网络时间同步，而NTP服务则是实现时间同步的主要方式之一。

操作方法

以下以RouterOS 6.47.9 (long-term) 为例，已经配置通互联网。（这边就不详细说明了，可以看我其他相关的文章）

1、开启NTP Client，System -> NTP Client，勾选Enabled，Mode选择unicast，Primary NTP Server：203.107.6.88（阿里云NTP：ntp.aliyun.com）,Secondary NTP Server：139.199.215.251（腾讯NTP：time1.cloud.tencent.com），点击OK

2、开启NTP Server，System -> NTP Server，勾选Enabled、Broadcast、Multicast、Manycast，点击OK

3、NTP服务器测试

w32tm /stripchart /computer:10.0.0.1

4、RouterOS命令

/system ntp client set enabled=yes primary-ntp=203.107.6.88 secondary-ntp=139.199.215.251 /system ntp server set broadcast=yes enabled=yes multicast=yes

by 2023-12-07

RouterOS 7.10.2 (stable) NTP服务器操作方法

1、开启NTP Client，System -> NTP Client，勾选Enabled，Mode选择unicast，NTP Servers：ntp.aliyun.com 和 time1.cloud.tencent.com，点击OK （V7.X版本可以支持域名的时间服务器了，也可以在当前页面看到连接状态）

2、开启NTP Server，System -> NTP Server，勾选Enabled、Broadcast、Multicast、Manycast，点击OK

3、RouterOS命令

/system ntp client set enabled=yes /system ntp client servers add address=ntp.aliyun.com /system ntp client servers add address=time1.cloud.tencent.com /system ntp server set broadcast=yes enabled=yes manycast=yes multicast=yes

RouterOS需要禁止局域网内某个IP上网（如10.1.0.59）

操作方法

使用Winbox，IP --> Firewall --> Filter Rules --> + ，新增一条filter规则即可。

Chain：forward

Src. Address：10.1.0.59（内网需要禁止的IP地址）

RouterOS需要屏蔽一些不良网站，以下是RouterOS禁止访问某些网站的配置方法（一般常用以下三种）：

1、单条Filter规则屏蔽法

使用Winbox，IP --> Firewall -->  Filter Rules --> + ，配置一条记录（以下以百度baidu.com为例）

Chain：forward，Protocol：6（tcp），Content：填写baidu.com，Action：drop，点击OK即可。

注意：有多个网站需要屏蔽的时候，新建多条filter rules；如果有其他规则，注意规则的顺序。