一些Mikrotik （ROS）网络设备使用经验分享

525165

rx_78gp02a 发表于 2024-4-19 15:25
这是交换机需求，X86下挂一个交换机即可。
原厂机没有完美的，5009只有一个万兆，两个交换机互联只能走软 ...

目的是为了放大软硬的区别，并不是为了实现交换机的功能

另外提到的2.5K，4.5K参数，是动态且完全可控的，和高通的NSS完全是两回事

X86有个别优势，但不是全面的优势，硬件路由器有许多独有的加速（卸载）功能，配置得当，可实现X86完全无法达到的性能（即使是顶级CPU）
就如同CPU和GPU，各有所长

rx_78gp02a

525165 发表于 2024-4-19 16:25
目的是为了放大软硬的区别，并不是为了实现交换机的功能

另外提到的2.5K，4.5K参数，是动态且完全可控的 ...

两个LAN口之间数据传输就是交换机功能，你都提到NAS拉数据的，不是交换还能是啥？
所谓“动态可控”官方有明确说明，超过上限会使用软加速走CPU；使用静态路由，ACL，VLAN等功能会占用映射资源，上限会降低；说白了2.25K和4.5K是加速上限，实际使用只会更低。
对于一款PPPOE/IPV6无法加速的路由称不上是硬路由，并且ROS用的还是软加速。连PPPOE都没有加速的机器大家都没用出区别，再提什么小包毫无意义。先弄清楚你的运营商能否给你那么多的转发量。
X86跑DPDK单核就能干6~9Mpps，单论性能完全没有问题，只是这部分系统是收费的。
X86 CHR支持fast path，千兆小包线速很容易。ROS用的是软加速！Tilera/Alpine 的CPU没有硬件加速器。

525165

rx_78gp02a 发表于 2024-4-19 17:21
两个LAN口之间数据传输就是交换机功能，你都提到NAS拉数据的，不是交换还能是啥？
所谓“动态可控”官方 ...

恰好用过tilera的soc，是有硬件加速的

kevinho86

525165 发表于 2024-4-19 20:45
恰好用过tilera的soc，是有硬件加速的

Fast Path/Fast Track并非硬件加速

525165

kevinho86 发表于 2024-4-19 20:51
Fast Path/Fast Track并非硬件加速

指的是tilera系列芯片本身，和FP，FT没关系

router os的tilera也有硬件加速的驱动，支持硬件offload

rx_78gp02a

525165 发表于 2024-4-19 20:45
恰好用过tilera的soc，是有硬件加速的

不是nat，ipsec是有的，此加速非彼加速。

525165

rx_78gp02a 发表于 2024-4-21 19:34
不是nat，ipsec是有的，此加速非彼加速。

当然不止ipsec，说的就是通常意义的硬件加速，有空的话可以研究一下

rx_78gp02a

525165 发表于 2024-4-21 22:00
当然不止ipsec，说的就是通常意义的硬件加速，有空的话可以研究一下

真用过就拿证据出来。
辅助单元负责包头解析和分类

硬件加速只有加密和压缩。

525165

rx_78gp02a 发表于 2024-4-21 23:02
真用过就拿证据出来。
辅助单元负责包头解析和分类

不知道你想说什么
有硬件offload，再说一次

rx_78gp02a

525165 发表于 2024-4-22 00:33
不知道你想说什么
有硬件offload，再说一次

硬件单元只做识别、分类、加密、压缩，不做NAT

525165

rx_78gp02a 发表于 2024-4-22 09:11
硬件单元只做识别、分类、加密、压缩，不做NAT

硬件offload不止NAT一种（不过现在Mikrotik也有不少设备支持NAT硬件加速），也不是所有的网路设备都需要NAT
另外你看的资料可能不完整
完整的资料不确定互联网是否能找到，可以试试看

认真丶对待

LZ，还想再请教个问题。
关于MikroTik的CB和PE功能，有没有相关的中文介绍或者教程之类的？百度上搜不知道应该以什么关键词来搜相关的东西。
而且我看官网只有那么几款支持，理论上不是也应该能用带CB功能的交换机来控制RB5009之类的吗？而且CCR应该部分型号也支持吧？
想学习一下

Krakenius

gnattu 发表于 2023-8-3 15:25
怎么会“重核心负载”啊，您是完全没有FastTrack还是防火墙规则多麻了

...

大佬，想问下ccr2004 PPPoE开了FastTrack 10条防火墙左右能跑多少兆？

MikeYao

设为主页 发表于 2023-8-2 22:20
在用 wr330 刷的 rb750gr3，L1授权，真香
等有钱了一定入正

看到小黄鱼有L6的授权，不知怎么弄的

525165

认真丶对待 发表于 2024-4-22 10:58
LZ，还想再请教个问题。
关于MikroTik的CB和PE功能，有没有相关的中文介绍或者教程之类的？百度上搜不知道 ...

最详细最权威的资料就是官网的“Documentation”，可以参考

关于你说的CB和PE，我没用过也不太了解，实在是帮不上忙，也不想给你误导。还是参考官网的权威资料吧

525165

Krakenius 发表于 2024-4-22 21:59
大佬，想问下ccr2004 PPPoE开了FastTrack 10条防火墙左右能跑多少兆？

开了FT防火墙规则会失效
不开FT跑PPPoE，差不多可以跑5G+（CCR2004-1G-12S+2XS）

JP_ToKyo

為什麼他還是不出2口/3口的搭配交換機的路由器....
應該挺有銷路丫...(對於MIKROTIK的面向...)

搞一堆單萬/單2.5然後配上一堆千兆..好沒購買想法..(當然對於非千兆公網的國家可能還是挺香的...)

设为主页

MikeYao 发表于 2024-4-30 16:32
看到小黄鱼有L6的授权，不知怎么弄的

这个倒是没了解过，我目前用L1授权够了，现在已经换了萤石w3了，刷了 hap ac2，这个比起 wr300 性能更强些，之前wr300跑步满千兆，最多900m，cpu占用直接100%，w3可以跑满，cpu 40-50%

MikeYao

设为主页 发表于 2024-5-7 05:51
这个倒是没了解过，我目前用L1授权够了，现在已经换了萤石w3了，刷了 hap ac2，这个比起 wr300 性能更强 ...

我现在用的是ASUS RT-AC3200，这两款哪个好呢？
我指的是W3刷hap后的效果

1003871082

525165 发表于 2024-4-19 14:23
X86、5009及CCR各有擅长

一个简单对比方法：X86如果有两个LAN口，使两个LAN口进行大量数据传输（典型场 ...

你没有交换机吗？非要用两个LAN

Baishui

525165 发表于 2024-4-30 16:58
开了FT防火墙规则会失效
不开FT跑PPPoE，差不多可以跑5G+（CCR2004-1G-12S+2XS） ...

5G是多条pppoe叠加的速度吗？我基本没配置什么防火墙规则的情况下，ccr2116单条pppoe不开FT只能跑1.6G，开了ft也仅仅2.4G，这时候1个核心满载，其他15个核心没什么负载。

Baishui

525165 发表于 2023-8-9 17:16
不会有大影响，只是CPU占用会高一些
2Gbps的PPPoE可考虑5009，ax3，4011

看国外的帖子，5009不开ft，连千兆好像都跑不满，800多m的样子。

525165

Baishui 发表于 2024-7-20 21:49
看国外的帖子，5009不开ft，连千兆好像都跑不满，800多m的样子。

正常配置，不开任何加速，5009的pppoe可以跑到3Gbps。大部分企业都没有3G的带宽，家庭用户因该是绰绰有余了

525165

Baishui 发表于 2024-7-20 21:47
5G是多条pppoe叠加的速度吗？我基本没配置什么防火墙规则的情况下，ccr2116单条pppoe不开FT只能跑1.6G， ...

未曾遇到你说的这种情况，5G的pppoe是多条。正常配置，保守估计2116能跑15Gbps以上。1036应该能更高些

Baishui

525165 发表于 2024-7-21 20:13
未曾遇到你说的这种情况，5G的pppoe是多条。正常配置，保守估计2116能跑15Gbps以上。1036应该能更高些 ...

多条宽带分散到多个核心可能可以，但是正常家用环境单条宽带目前测下来ccr2116不开ft只能到1.6g，因为只能用到一个核心，另一个帖子里我贴图了

525165

Baishui 发表于 2024-7-21 20:16
多条宽带分散到多个核心可能可以，但是正常家用环境单条宽带目前测下来ccr2116不开ft只能到1.6g，因为只 ...

5009单宽带跑过2G，所以2116应该不止1.6

fifaplayer88

poporange630 发表于 2023-8-3 13:07
它路由性能很差 买来都是做交换机用的 直接切换成SwOS就行了

兄弟搭车问下家用1000选择哪款比较好 放弱电箱系列

Baishui

525165 发表于 2024-7-21 21:33
5009单宽带跑过2G，所以2116应该不止1.6

实测的。https://www.chiphell.com/thread-2621612-1-1.html

525165

Baishui 发表于 2024-7-21 21:53
实测的。https://www.chiphell.com/thread-2621612-1-1.html

ROS的配置繁杂，可以把配置导出并贴上来看看

Baishui

525165 发表于 2024-7-21 22:06
ROS的配置繁杂，可以把配置导出并贴上来看看

1. /interface bridge
   
2. add comment=defconf ingress-filtering=no name=bridge port-cost-mode=short vlan-filtering=yes
   
3. /interface ethernet
   
4. set [ find default-name=ether1 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
   
5. set [ find default-name=ether2 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
   
6. set [ find default-name=ether3 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
   
7. set [ find default-name=ether4 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
   
8. set [ find default-name=ether5 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
   
9. set [ find default-name=ether6 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
   
10. set [ find default-name=ether7 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
11. set [ find default-name=ether8 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
12. set [ find default-name=ether9 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
13. set [ find default-name=ether10 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
14. set [ find default-name=ether11 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
15. set [ find default-name=ether12 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
16. set [ find default-name=ether13 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
17. set [ find default-name=sfp-sfpplus1 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
18. set [ find default-name=sfp-sfpplus2 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
19. set [ find default-name=sfp-sfpplus3 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
20. set [ find default-name=sfp-sfpplus4 ] l2mtu=9570 mtu=9014 rx-flow-control=on tx-flow-control=on
    
21. /interface vlan
    
22. add interface=bridge name=vlan15 vlan-id=15
    
23. add interface=bridge name=vlan20 vlan-id=20
    
24. add interface=bridge name=vlan25 vlan-id=25
    
25. add interface=bridge name=vlan35 vlan-id=35
    
26. add interface=bridge name=vlan809 vlan-id=809
    
27. /interface bonding
    
28. add mode=802.3ad mtu=9014 name=crs510 slaves=sfp-sfpplus1,sfp-sfpplus2 transmit-hash-policy=layer-3-and-4
    
29. /interface pppoe-client
    
30. add add-default-route=yes disabled=no interface=vlan809 keepalive-timeout=60 name=pppoe-out1 use-peer-dns=yes user=xxx
    
31. /disk
    
32. set nvme1 media-interface=none media-sharing=no
    
33. /interface ethernet switch
    
34. set 0 l3-hw-offloading=yes qos-hw-offloading=yes
    
35. /interface list
    
36. add name=WAN
    
37. add name=LAN
    
38. /interface wireless security-profiles
    
39. set [ find default=yes ] supplicant-identity=MikroTik
    
40. /ip dhcp-server
    
41. add address-pool=dhcp_pool0 interface=bridge lease-time=10m name=dhcp1
    
42. add address-pool=dhcp_pool1 interface=vlan15 lease-time=10m name=dhcp2
    
43. add address-pool=dhcp_pool2 interface=vlan25 lease-time=10m name=dhcp3
    
44. /ip smb users
    
45. set [ find default=yes ] disabled=yes
    
46. /ipv6 pool
    
47. add name=common prefix=::/0 prefix-length=63
    
48. /port
    
49. set 0 name=serial0
    
50. /interface bridge port
    
51. add bridge=bridge comment=defconf disabled=yes ingress-filtering=no interface=sfp-sfpplus1 internal-path-cost=10 path-cost=10
    
52. add bridge=bridge comment=defconf disabled=yes ingress-filtering=no interface=sfp-sfpplus2 internal-path-cost=10 path-cost=10
    
53. add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3 internal-path-cost=10 path-cost=10
    
54. add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4 internal-path-cost=10 path-cost=10 pvid=809
    
55. add bridge=bridge comment=defconf ingress-filtering=no interface=ether1 internal-path-cost=10 path-cost=10
    
56. add bridge=bridge comment=defconf ingress-filtering=no interface=ether2 internal-path-cost=10 path-cost=10
    
57. add bridge=bridge comment=defconf ingress-filtering=no interface=ether3 internal-path-cost=10 path-cost=10
    
58. add bridge=bridge comment=defconf ingress-filtering=no interface=ether4 internal-path-cost=10 path-cost=10
    
59. add bridge=bridge comment=defconf ingress-filtering=no interface=ether5 internal-path-cost=10 path-cost=10
    
60. add bridge=bridge comment=defconf ingress-filtering=no interface=ether6 internal-path-cost=10 path-cost=10
    
61. add bridge=bridge comment=defconf ingress-filtering=no interface=ether7 internal-path-cost=10 path-cost=10
    
62. add bridge=bridge comment=defconf ingress-filtering=no interface=ether8 internal-path-cost=10 path-cost=10
    
63. add bridge=bridge comment=defconf ingress-filtering=no interface=ether9 internal-path-cost=10 path-cost=10
    
64. add bridge=bridge comment=defconf ingress-filtering=no interface=ether10 internal-path-cost=10 path-cost=10
    
65. add bridge=bridge comment=defconf ingress-filtering=no interface=ether11 internal-path-cost=10 path-cost=10 pvid=15
    
66. add bridge=bridge comment=defconf ingress-filtering=no interface=ether12 internal-path-cost=10 path-cost=10 pvid=15
    
67. add bridge=bridge interface=crs510 internal-path-cost=10 path-cost=10
    
68. add bridge=bridge comment=defconf disabled=yes ingress-filtering=no interface=sfp-sfpplus1 internal-path-cost=10 path-cost=10
    
69. add bridge=bridge comment=defconf disabled=yes ingress-filtering=no interface=sfp-sfpplus2 internal-path-cost=10 path-cost=10
    
70. /interface ethernet switch l3hw-settings
    
71. set ipv6-hw=yes
    
72. /ip firewall connection tracking
    
73. set udp-timeout=10s
    
74. /ip neighbor discovery-settings
    
75. set discover-interface-list=all lldp-mac-phy-config=yes
    
76. /ip settings
    
77. set max-neighbor-entries=8192
    
78. /ipv6 settings
    
79. set disable-ipv6=yes max-neighbor-entries=8192
    
80. /interface bridge vlan
    
81. add bridge=bridge tagged=bridge vlan-ids=809
    
82. add bridge=bridge tagged=bridge vlan-ids=35
    
83. add bridge=bridge tagged=bridge,crs510,sfp-sfpplus3 vlan-ids=15
    
84. add bridge=bridge tagged=bridge,crs510,sfp-sfpplus3 vlan-ids=25
    
85. add bridge=bridge tagged=bridge,crs510,sfp-sfpplus3 vlan-ids=20
    
86. /interface ethernet switch rule
    
87. add comment="allow 15 dns" dst-address=192.168.15.0/28 dst-port=53 mac-protocol=ip ports=\
    
88.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
    
89.     protocol=udp src-address=192.168.15.0/24 switch=switch1
    
90. add comment="drop 15 to gw" dst-address=192.168.15.0/28 mac-protocol=ip new-dst-ports=ether12 ports=\
    
91.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
    
92.     src-address=192.168.15.0/24 switch=switch1
    
93. add comment="allow 15 to 15" dst-address=192.168.15.0/24 mac-protocol=ip ports=\
    
94.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
    
95.     src-address=192.168.15.0/24 switch=switch1
    
96. add comment="drop 15 to 192" dst-address=192.168.0.0/16 mac-protocol=ip new-dst-ports=ether12 ports=\
    
97.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
    
98.     src-address=192.168.15.0/24 switch=switch1
    
99. add comment="allow 25 dns" dst-address=192.168.25.0/28 dst-port=53 mac-protocol=ip ports=\
    
100.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
     
101.     protocol=udp src-address=192.168.25.0/24 switch=switch1
     
102. add comment="allow 15 dns" dst-address=192.168.15.0/28 dst-port=53 mac-protocol=ip ports=\
     
103.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
     
104.     protocol=udp src-address=192.168.15.0/24 switch=switch1
     
105. add comment="drop 15 to gw" dst-address=192.168.15.0/28 mac-protocol=ip new-dst-ports=ether12 ports=\
     
106.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
     
107.     src-address=192.168.15.0/24 switch=switch1
     
108. add comment="allow 15 to 15" dst-address=192.168.15.0/24 mac-protocol=ip ports=\
     
109.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
     
110.     src-address=192.168.15.0/24 switch=switch1
     
111. add comment="drop 15 to 192" dst-address=192.168.0.0/16 mac-protocol=ip new-dst-ports=ether12 ports=\
     
112.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
     
113.     src-address=192.168.15.0/24 switch=switch1
     
114. add comment="allow 25 dns" dst-address=192.168.25.0/28 dst-port=53 mac-protocol=ip ports=\
     
115.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
     
116.     protocol=udp src-address=192.168.25.0/24 switch=switch1
     
117. add comment="drop 25 to gw" dst-address=192.168.25.0/28 mac-protocol=ip new-dst-ports=ether12 ports=\
     
118.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
     
119.     src-address=192.168.25.0/24 switch=switch1
     
120. add comment="allow 25 to 25" dst-address=192.168.25.0/24 mac-protocol=ip ports=\
     
121.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
     
122.     src-address=192.168.25.0/24 switch=switch1
     
123. add comment="drop 25 to 192" dst-address=192.168.0.0/16 mac-protocol=ip new-dst-ports=ether12 ports=\
     
124.     sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12 \
     
125.     src-address=192.168.25.0/24 switch=switch1
     
126. /interface list member
     
127. add interface=sfp-sfpplus1 list=LAN
     
128. add interface=sfp-sfpplus2 list=LAN
     
129. add interface=sfp-sfpplus3 list=LAN
     
130. add interface=sfp-sfpplus4 list=LAN
     
131. add interface=ether1 list=LAN
     
132. add interface=ether2 list=LAN
     
133. add interface=ether3 list=LAN
     
134. add interface=ether4 list=LAN
     
135. add interface=ether5 list=LAN
     
136. add interface=ether6 list=LAN
     
137. add interface=ether7 list=LAN
     
138. add interface=ether8 list=LAN
     
139. add interface=ether9 list=LAN
     
140. add interface=ether10 list=LAN
     
141. add interface=ether11 list=LAN
     
142. add interface=ether12 list=LAN
     
143. add interface=vlan809 list=WAN
     
144. add interface=crs510 list=WAN
     
145. add interface=pppoe-out1 list=WAN
     
146. /interface o**-server server
     
147. set auth=sha1,md5
     
148. /ip dns
     
149. set allow-remote-requests=yes
     
150. /ip firewall filter
     
151. add action=accept chain=input comment="accept established,related" connection-state=established,related in-interface-list=WAN
     
152. add action=drop chain=input connection-state=invalid in-interface-list=WAN
     
153. add action=drop chain=input comment="block everything else" in-interface-list=WAN
     
154. add action=fasttrack-connection chain=forward comment="fast-track for established,related" connection-state=established,related hw-offload=yes \
     
155.     in-interface-list=WAN
     
156. add action=accept chain=forward comment="accept established,related" connection-state=established,related in-interface-list=WAN
     
157. add action=drop chain=forward connection-state=invalid in-interface-list=WAN
     
158. add action=drop chain=forward comment="drop access to clients behind NAT form WAN" connection-nat-state=!dstnat connection-state=new \
     
159.     in-interface-list=WAN
     
160. /ip firewall mangle
     
161. add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
     
162. /ip firewall nat
     
163. add action=masquerade chain=srcnat out-interface-list=WAN
     
164. add action=dst-nat chain=dstnat dst-port=46881 in-interface-list=WAN protocol=tcp to-addresses=192.168.5.4 to-ports=81
     
165. add action=dst-nat chain=dstnat dst-port=32163 in-interface-list=WAN protocol=tcp to-addresses=192.168.5.4 to-ports=63
     
166. add action=dst-nat chain=dstnat dst-port=33956 in-interface-list=WAN protocol=tcp to-addresses=192.168.5.4 to-ports=56
     
167. add action=dst-nat chain=dstnat dst-port=33956 in-interface-list=WAN protocol=udp to-addresses=192.168.5.4 to-ports=56
     
168. add action=dst-nat chain=dstnat dst-port=56816 in-interface-list=WAN protocol=tcp to-addresses=192.168.5.4 to-ports=16
     
169. /ip nat-pmp
     
170. set enabled=yes
     
171. /ip nat-pmp interfaces
     
172. add interface=pppoe-out1 type=external
     
173. add interface=bridge type=internal
     
174. /ip service
     
175. set telnet disabled=yes
     
176. set ftp disabled=yes
     
177. set api disabled=yes
     
178. set api-ssl disabled=yes
     
179. /ip smb shares
     
180. set [ find default=yes ] directory=/flash/pub
     
181. /ip upnp
     
182. set allow-disable-external-interface=yes enabled=yes
     
183. /ip upnp interfaces
     
184. add interface=pppoe-out1 type=external
     
185. add interface=bridge type=internal
     
186. /routing bfd configuration
     
187. add disabled=no
     
188. /system clock
     
189. set time-zone-name=Asia/Shanghai
     
190. /system gps
     
191. set port=usb2
     
192. /system logging
     
193. add action=remote
     
194. /system note
     
195. set show-at-login=no
     
196. /system ntp client
     
197. set enabled=yes
     
198. /system ntp client servers
     
199. add address=cn.ntp.org.cn

复制代码