20230529更新：增加ipv6策略路由实现境内外ipv6地址分流的方法。

在两年前我写过一篇routeros配置vpn分流大陆ip的文章，里面主要介绍了使用routeros基于源地址和目的地址的策略路由。在使用Routeros V7 测试版的过程中发现V7相比于V6版在路由配置方便有很大变更，所以这篇文章会以Routeros V7为基础介绍策略路由的配置。

网络基本情况
routeros作为家庭唯一路由，通过pppoe接入互联网，通过wireguard连接香港的routeros。

策略路由目标
1，需要翻墙的内网ip：目的地址是境内ip走pppoe默认路由，目的地址是境外IP走wireguard通过香港routeros进入墙外互联网
2，其他内网ip全部走pppoe默认路由

IP地址分配参考上一篇文章Routeros 配置WireGuard

本地lan的地址是192.168.1.1/24,wg-access地址是10.0.0.1/24，wg-hk的地址是10.0.1.1/30，手机wireguard的地址是10.0.0.2/32，笔记本电脑的地址是10.0.0.3/32
香港wg0地址是10.0.1.2/30

配置步骤
1，导入大陆IP地址表
参考Routeros的address-list大陆分流列表
把cnip.rsc上传到routeros，执行

/import cnip.rsc

2，配置分流路由表
Routeros V7取消了通过firewall的mangle里添加路由标记自动添加路由表功能，所有这里需要手动添加路由表

/routing/table/add name="gfw" fib

添加IP分流策略路由

/ip/route/add dst-address=0.0.0.0/0 routing-table="gfw" gateway=10.0.1.2

3，新建需要翻墙的内网地址列表，假定192.168.1.100和192.168.1.200需要翻墙

/ip/firewall/address-list/add list=gfw address=192.168.1.100/32
/ip/firewall/address-list/add list=gfw address=192.168.1.200/32

4，给需要翻墙的内网ip添加标记

/ip/firewall/mangle/add chain=prerouting action=mark-routing new-routing-mark=gfw passthrough=yes dst-address-type=!local src-address-list=gfw dst-address-list=!CNIP log=no log-prefix=""

5，配置无污染DNS服务器
参考使用dnsmasq基于大陆域名白名单分流解析域名和使用overture替换dnsmasq做域名分流解析

6，测试目的IP分流
在192.168.1.100上执行traceroute命令

traceroute 8.8.4.4
192.168.1.100--->192.168.1.1--->10.0.1.2--->香港服务器公网路由--->8.8.4.4
traceroute 114.114.114.114
192.168.1.100--->192.168.1.1--->PPPoE公网路由---->114.114.114.114

ps，按照上述ipv4的策略路由配置方法，ipv6并不会生效。
此问题是ipv6策略路由的路由表问题。截至v7.10beta8，mikrotik还没有修复ipv6的路由表问题，或者是mikrotik将来会调整策略路由配置方法。
ipv6的firewall的对应mangle条目的counter有计数，说明修改routing-mark已经生效，但是数据包没有走routing-mark设置的路由表。
经过搜索mikrotik官方论坛，需要另外增加一条设置

/routing/rule/add action=lookup-only-in-table routing-mark=gfw table=gfw

Routeros在2019年下半年发布了V7的beta版，我在之前文章一直在更新beta版新特性。2020年6月routeros v7beta7系统内核升级到5.6，8月发布了Routeros v7.1 beta2增加了对WireGuard的支持。
WireGuard被视为下一代VPN隧道协议，是类似于gre、ipip隧道的无状态VPN隧道，基于UDP协议，配置简单。

由于Routeros V7还在beta阶段，webfig和winbox等UI控制台还存在很多不完善的地方，下面通过命令行配置。
以下配置基于Routeros V7.1beta2 CHR版。

简单介绍一下拓扑，routeros作为唯一路由器，新建两个wireguard接口：wg-access和wg-hk，wg-access用于手机、PC等在非本地网络下的远程接入，wg-hk用于连接香港VPS用于加速访问境外地址。

本地lan的地址是192.168.1.1/24,wg-access地址是10.0.0.1/24，wg-hk的地址是10.0.1.1/30，手机wireguard的地址是10.0.0.2/32，笔记本电脑的地址是10.0.0.3/32
香港wg0地址是10.0.1.2/30

通过ssh连接routeros或者webfig、winbox的terminal输入命令。
1，wg-access
新建本地routeros的wg-access接口，注意mtu要改成1500，默认是1420，输入下面新建接口命令后会自动创建接口的private-key和对应的public-key

/interface/wireguard/add name="wg-access" mtu=1500 listen-port=50000

给本地routeros的wg-access接口配置IP地址

/ip/address/add address=10.0.0.1/24 interface=wg-access

添加wg-access接口下的客户端peers，注意下面的public-key和preshared-key替换成实际的key，客户端的key在新建空隧道时会自动生成

/interface/wireguard/peers/add interface=wg-access public-key="lYVc...AlE=" allowed-address=10.0.0.2/32 preshared-key="93E...PSA="
/interface/wireguard/peers/add interface=wg-access public-key="lYVc...AlE=" allowed-address=10.0.0.3/32 preshared-key="93E...PSA="

2，wg-hk
新建本地routeros的wg-hk接口

/interface/wireguard/add name="wg-hk" mtu=1500 listen-port=10000

新建香港VPS上routeros的wg0接口

/interface/wireguard/add name="wg0" mtu=1500 listen-port=10000

在香港routeros的wg0接口下添加peer

/interface/wireguard/peers/add interface=wg0 public-key="lYVc...AlE=" allowed-address=10.0.1.1/30 preshared-key="93E...PSA="

给香港routeros的wg0接口配置IP地址

/ip/address/add address=10.0.1.2/30 interface=wg0

在香港routeros上添加本地lan的路由

/ip/route/add dst-address=192.168.1.1/24 gateway=10.0.1.1

在本地routeros的wg-hk接口下添加peer

/interface/wireguard/peers/add interface=wg-hk public-key="lYVc...AlE=" endpoint=香港VPS的公网IP:10000 allowed-address=0.0.0.0/0 preshared-key="93E...PSA="

给本地routeros的wg-hk接口配置IP地址

/ip/address/add address=10.0.1.1/30 interface=wg-hk

配置本地routeros的策略路由
参考Routeros V7配置策略路由和routeros配置vpn分流大陆ip

关于routeros的wireguard的说明
1，mtu要修改成1500，使用默认的1420时会有部分cdn不能加载，现象是浏览器报超时错误。mtu问题类似情况参考ikev2 客户端mtu引起的网络故障
2，wireguard每个接口有个自己的公钥对应的路由表，配置peer就是写路由表，routeros v7.1beta2目前有bug，配置多个相同路由的peer，删除后配置的不会恢复之前的路由。
3，routeros v7.1beta2的全局路由表和wireguard的路由表可能存在某些bug，如果配置后不生效，可以删除peer后重新添加。

需求：vpn连接限制了可访问的ip和端口，想要使用windows的远程桌面

思路：
1，修改远程桌面默认3389端口为vpn可访问端口；
2，添加端口转发到远程桌面默认3389端口

实施：
1，使用rdpwrapper修改，或通过注册表修改，略。

2，添加新端口转发到3389端口，并设置防火墙放行新端口
命令如下：
端口转发：

netsh interface portproxy add v4tov4  listenaddress=0.0.0.0 listenport=%newport% connectaddress=127.0.0.1 connectport=3389

防火墙放行：

netsh advfirewall firewall add rule name="Allow VPN Remore Desktop" dir=in protocol=tcp localport=%newport% action=allow

批处理脚本：

@echo off&PUSHD %~DP0 &TITLE VPN可访问远程桌面端口设置
mode con cols=90 lines=30&COLOR f0
fltmc>nul&&(goto :message)||(echo;请以管理员身份运行，按任意键退出 &&goto :end)

:message
cls
echo;本程序需在终端计算机上运行
echo;本程序会将VPN可访问端口映射到远程桌面的3389端口，并添加相应防火墙规则
echo;
echo;按任意键继续，或点击右上角X退出
pause>nul
goto :port3389check


:port3389check
set portnum=3389
for /f "tokens=3 delims=: " %%a in ('netstat -an') do (
if "%%a"=="%portnum%" (goto :input))
echo;&echo 未检测到3389端口，请检查远程桌面服务&echo 按任意键退出&goto :end


:input
cls
echo;请输入您的VPN可访问端口并按回车
set/p userinput=端口：
echo %userinput%|findstr /r /c:"^[0-9][0-9]*$">nul
if errorlevel 1 (echo 请检查您输入的端口，按任意键开始重新输入&pause>nul&goto :input) else (
if %userinput% leq 65535 (if %userinput% geq 10000 (goto :vpnportcheck) else (echo 请检查您输入的端口，按任意键开始重新输入&pause>nul&goto :input) ) else (echo 请检查您输入的端口，按任意键开始重新输入&pause>nul&goto :input))
goto :end

:vpnportcheck
set vpnportnum=%userinput%
for /f "tokens=3 delims=: " %%a in ('netstat -an') do (
if "%%a"=="%vpnportnum%" (echo 检测到您输入的端口已被占用，按任意键退出&goto :end))
goto :portproxy

:portproxy
cls
echo;***步骤1：添加端口映射***
echo;如果360拦截，请选择“允许操作”
netsh interface portproxy add v4tov4  listenaddress=0.0.0.0 listenport=%userinput% connectaddress=127.0.0.1 connectport=3389
echo;
echo;***步骤2：添加防火墙规则***
echo;如果360拦截，请选择“允许操作”
netsh advfirewall firewall add rule name="Allow VPN Remore Desktop" dir=in protocol=tcp localport=%userinput% action=allow >nul
echo;
echo;成功,按任意键退出...
goto :end

:end
pause>nul

脚本说明：
0，github地址：https://github.com/trepwq/proxy-remote-desktop-port-batch
1，使用fltmc检查是否以管理员方式运行
2，检查3389端口是否在监听状态，使用了for循环匹配netstat -an命令结果中3389端口
3，检查输入的新端口是否合规，不能是非整数，不能是数字和其他字符组合，端口有范围，使用了findstr的正则匹配和if大小判断
4，检查新端口是否被占用，原理同2

网络拓扑：

                  InWall Internet
                          |
                          | 
     ikev2 客户端-------路由器-----openvpn mtu1400-----VPS-------OutWall Internet
                          |
                          |
                     ikev2服务器

故障现象：
ios的ikev2客户端打开境内外网站正常
windows的ikev2客户端境内网站正常，不能打开境外https网站，境外http网站大部分资源加载不全

排查：
windows连接vpn后，使用ipip.net查看出口公网ip，发现已经是ikev2 vpn服务器出口ip，ping 境外ip是通的，telnet检查443端口是通，curl测试发现卡在证书协商
据此基本可以确定是mtu引起的问题，使用命令ping -l 1370 -f 境外网址，不断调整包大小，发现最大mtu是1370

解决办法：
连接vpn后，使用命令
netsh interface ipv4 set subinterface "vpn名称" mtu=1350 store=persistent
修改windows ikev2 虚拟网卡mtu为1350
问题解决

总结：
一开始使用的是ios的ikev2客户端，都没有出现问题，查找资料发现苹果系的ikev2客户端默认mtu是1280，苹果选择这个mtu大小还有一个原因是ipv6的最小包大小是1280
ikev2服务器strongswan应该是可以设置mtu的，后续更新。

附：
strongSwan Android client: MTU 1400
MacOS / iOS built-in IPsec client: MTU 1280
Windows built-in IPsec client: MTU 1400
Cisco VPN client: MTU 1300

相关文章链接：
windows使用ikev2遇到的坑，及批处理batch脚本和powershell脚本
使用ping测试路径里设备的mtu
MTU woes in IPsec tunnels and how you can fix it

最近很多朋友尝试在vps或者云服务器上安装ros，由于服务器是公网ip，安全风险很大，在这里写一下安装routeros后的安全设置。如何在云服务器上安装routeros，可以参考 Google Cloud Platform（gcp）谷歌云安装Routeros 和 青云主机安装routeros，附一键安装routeros脚本

routeros安装完成首次启动是没有密码的，并且所有管理端口是开放的，也就是说，任何人只要先于你设置了密码，你就失去了控制权。

如果你是公有云（如阿里云，谷歌gcp等）的ecs上安装的话，先要设置安全组或者防火墙只允许自己宽带的公网ip访问，这样可以最大限度保证自己能在第一时间设置密码。如果是普通idc的vps的话，只能加快手速了。

1，使用webfig或者winbox登陆到routeros后，第一件事就是设置密码，路径是/webfig/#System:Password

2，关闭不需要的管理端口，路径是/webfig/#IP:Services，这里建议关闭除winbox和www的所有服务，并把开放的服务修改成其他端口号

3，修改管理员账号，/webfig/#System:Users，新建管理员，记得group选full取得所有权限，使用新管理员账号登陆routeros后禁用admin账号，避免输错管理员账号密码把自己关在外面

4，配置完其他后，记得在防火墙关闭公网dns查询，/webfig/#IP:Firewall.Filter_Rules.new，chain选input，protocol选udp，dst.port写53，in.interface选你的公网接口如ether1，最后action选drop。这样就能防止你的routeros被用来做ddos的放大攻击工具攻击别人，防止云服务商或者idc因为你的攻击行为（尽管非你本意）关闭你的服务器。