我之前宽带一直都是光猫拨号，电脑和NAS直连光猫，光猫下挂个二级无线路由器来给其他设备联网，但我早就对这个拓扑不爽了，主要原因是自己花大钱买的AC86U派不上用场，只能干点边缘的杂活，而且搞两套局域网怎么看都挺恶心的。之前也试过把路由器改成AP模式，让所有设备都直连光猫，但是万恶的电信光猫限制了设备数，只有前5台机器能上网，其它的机器虽然能拿到地址，但是上网必定超时。那现在既然有了台服务器，那干脆装个软路由。

　　软路由系统我打算玩玩RouterOS，毕竟iKuai听说过没用过，据说还出过劫持流量这种问题，不敢用也不想用；OpenWRT以前玩过，没啥新鲜感，而RouterOS，之前装着玩的时候就觉得倍高档，早就想搞搞它玩玩了。

　　用超级密码登录光猫后台，把LOID、PPPoE的用户名和密码（密码需要base64解码才能得到线前缀长度记在一个文档里备查。

　　因为我懒得找运营商的装维师傅给我改桥接（之前沟通过，师傅说要先换光猫，新光猫又得等），也考虑到留着原来的光猫配置不变的话，在我折腾翻车的时候也不需要再找装维师傅改回路由模式，直接把光纤接回去就能恢复网络，所以我直接在淘宝上买了根ODI的猫棒。又因为服务器上没有SFP口，我也不想再买个网卡，就顺便一起买了个光电转换器。

　　之前了解到，光纤的端面接口有PC、UPC、APC三种，之所以选择ODI的光猫，就是因为我们一般宽带光纤的端面是UPC的，而诺基亚和阿尔卡特之类的猫棒是APC接口，还要套个转换器才行，硬插进去可能会损坏光纤，但ODI这款采用的就是UPC接口，不用再买转换器。但是我无法保证覆盖所有情况，如果你也想用猫棒，请一定提前跟店家和装维师傅确认好，如果顶坏了光纤端面，你只能喊装维师傅来给你重新做接头，别无他法！

　　抓住光纤的蓝色滑套，往后抽，就可以把光纤从光猫上拔出来，然后对准接口插进猫棒，再把猫棒插进光电转换器，然后接上网线和电源，就可以了。

　　稍等几分钟等猫棒开机，开机之后，转换器在猫棒方向的灯会亮起来。这时候先把网线跟电脑连起来，给电脑分配一个192.168.1.0/24范围的地址（当然别用192.168.1.1，那是猫棒后台的地址），然后用浏览器打开192.168.1.1，就能看见猫棒后台的登陆页面了。账号和密码找商家要，我这款是admin/admin，但不保证所有ODI猫棒都是这一对账号密码。登陆进去后，进入Settings页面，填入LOID，点Apply Changes，然后进入Commit/Reboot页面，点Commit and Reboot按钮保存配置并重启，猫棒端就配置完成了。

　　不过电信、联通、移动的光猫注册方式各有不同，上面说的操作都是针对电信的。其他运营商可以参考猫棒商家发的文档clash怎么改端口，或参考网上其他人的成功案例。这里引用猫棒说明中的一部分内容：

　　本来重启之后，应该先看一下ONU状态是不是O5来着，但是当时我忘了看，直接电脑上拨号成功，间接也证明了LOID注册成功。不过还是放个文档里扒出来的图好了。

　　一开始我以为装这玩意跟装别的系统没啥区别，就ISO一挂，顺着向导装就行。可看了文档发现，RouterOS有一个专门面向虚拟平台的版本，叫Cloud Hosted Router (CHR)，在官网的下载页面下载OVA Template，然后导入ESXi就行。具体的安装方法可以看Mikrotik的Wiki。

　　RouterOS CHR作为一个付费的系统，当然也需要买授权才能用。买授权的方法也可以跟着Mikrotik的Wiki-GettingtheLicense)操作，就是注意别买成RouterOS的Key，这两者是不通用的。

　　如果我没记错的话，ESXi一开始只给Ethernet 1口做了配置，我们得手动给Ethernet 2配置虚拟网络。

　　首先到网络的虚拟交换机页面，创建一个新的虚拟交换机，名字按自己喜好起就行，比如我就顺着已有的vSwitch0给它命名vSwitch1。然后点进vSwitch1，点添加上行链路，把vmnic1分配给它，这样在ESXi里面就可以用这个接口了。

　　然后到端口组页面，添加一个新的端口组VM Network 2，虚拟交换机选择刚创建的vSwitch1。

　　接下来点进虚拟机RouterOS，关机之后编辑设置，给它添加一个网络适配器，然后给网络适配器1分配VM Network 2，给网络适配器2分配VM Network 1，保存，开机。

　　第一次登录的时候，因为我并不知道路由器的地址，所以没办法用IP地址打开RouterOS的配置页面，但MikroTik很贴心的提供了用MAC地址连接的功能。在WinBox的Neighbors页面双击RouterOS的条目，用admin用户和空密码登录就可以。

　　为了后面分的清楚，我先到Interfaces页面，把LAN口和WAN口对应接口的名字改了过来，毕竟默认的ether1和ether2不如LAN和WAN看的清楚。通常来说观察接口的Tx和Rx就能分清哪个是LAN口，因为这时候没配置拨号，WAN口的流量通常只会是0。如果分不清，那就先把Gen 8的Ethernet 1拔了。

　　在配置DHCP服务器前，要先规划好自己的局域网的网段。地址范围可以从IPv4的三个私有地址范围10.0.0.0/8、172.16.0.0/12和192.168.0.0/16之间选，一定不要作死用公网网段（比如一些无能IT给路由器配了个1.1.1.1），不然我很难说你的网络会出什么奇怪的问题。我干脆就遵循之前的网络，用了192.168.1.0/24段作为我的内网网段。

　　选择给RouterOS分配192.168.1.3的原因是，192.168.1.1留给猫棒（虽然后来发现连不上），192.168.1.2留给AC86U路由器，它本来就是这个地址，我懒得再动它。

　　添加成功后，RouterOS会自动开始拨号，在终端也可以用monitor命令实时监控PPPoE拨号端口的状态：

　　这时候RouterOS自己已经可以上网了，但是路由器下面的设备还不行，因为没有配置NAT。在终端执行这条命令，来创建一条NAT规则：

　　电信宽带已经支持了IPv6，那既然有了，我不能不用。电信会给宽带分配一个前缀，下级设备通过前缀来分配自己的地址，就是prefix delegation。所以我只需要在RouterOS中配置一个IPv6的DHCP client就行。

　　首先创建两个interface list，把公网接口和内网接口归类到各自的列表中，方便后面创建防火墙规则。

　　然后配置防火墙规则（其中一些规则我也不明白是啥作用，但是既然包含在默认配置里，那配进去应该不会造成什么问题）：

　　开启UPnP，虽然说开这玩意会有安全隐患，但是开了这么多年也没因为它出过事，这玩意也没法从外网开端口转发，也就是说首先内网得有机器中毒，我自认为我的使用习惯还算是安全的，所以，开。