最近很多朋友尝试在vps或者云服务器上安装ros，由于服务器是公网ip，安全风险很大，在这里写一下安装routeros后的安全设置。如何在云服务器上安装routeros，可以参考 Google Cloud Platform（gcp）谷歌云安装Routeros 和 青云主机安装routeros，附一键安装routeros脚本

routeros安装完成首次启动是没有密码的，并且所有管理端口是开放的，也就是说，任何人只要先于你设置了密码，你就失去了控制权。

如果你是公有云（如阿里云，谷歌gcp等）的ecs上安装的话，先要设置安全组或者防火墙只允许自己宽带的公网ip访问，这样可以最大限度保证自己能在第一时间设置密码。如果是普通idc的vps的话，只能加快手速了。

1，使用webfig或者winbox登陆到routeros后，第一件事就是设置密码，路径是/webfig/#System:Password

2，关闭不需要的管理端口，路径是/webfig/#IP:Services，这里建议关闭除winbox和www的所有服务，并把开放的服务修改成其他端口号

3，修改管理员账号，/webfig/#System:Users，新建管理员，记得group选full取得所有权限，使用新管理员账号登陆routeros后禁用admin账号，避免输错管理员账号密码把自己关在外面

4，配置完其他后，记得在防火墙关闭公网dns查询，/webfig/#IP:Firewall.Filter_Rules.new，chain选input，protocol选udp，dst.port写53，in.interface选你的公网接口如ether1，最后action选drop。这样就能防止你的routeros被用来做ddos的放大攻击工具攻击别人，防止云服务商或者idc因为你的攻击行为（尽管非你本意）关闭你的服务器。

2019年底开始翻墙变得越来越难，基础宽带是联通，穿墙线路一直使用的阿里云香港线路在晚上高峰期qos限速，延迟增加，本来200m带宽严重的时候甚至掉到各位数。

这时候不得不考虑一直续费而没用的备用机场了，由于没有出口的控制权，机场理论上来说可以看到所有非加密流量内容，个人对此比较在意，但是又觊觎机场的iplc线路（阿里云cen线路），不受墙影响，不受时间段qos，曾经询问过价格，被每月几万劝退了。

那么退而求其次，利用机场的shadowsocks作外层隧道，使用openvpn或其他tcp的vpn连接gcp的vps，保证本地到出口vps的链路是加密，就既能利用iplc线路又保证安全，唯一问题是tcp over tcp受网络波动影响很大，具体请谷歌之。

下面是使用环境，本地routeros v6，本地openwrt with ShadowSocksR Plus+ ,某阿里云中转机场，gcp香港routeros v6

1，在gcp香港routeros开启openvpn服务器，并打开gcp防火墙相关端口，参考Routeros配置openvpn服务器和客户端
2，配置好openwrt上机场信息，保证能通过机场翻墙
3，本地routeros配置gcp香港服务器ip路由通过openwrt，参考Routeros配置使用openwrt作旁路由
4，配置本地routeros的openvpn客户端，参考Routeros配置openvpn服务器和客户端
5，配置gcp香港routeros通过openvpn回程路由，如果本地routeros使用masquerade等nat时不需要配置，关于masquerade相关参考routeros的默认nat尽量不要用masquerade
6，配置本地routeros的ip分流，参考routeros配置vpn分流大陆ip

一般vps都可以通过dd来安装routeros软路由系统，可以参考青云主机安装routeros，附一键安装routeros脚本
gcp由于特殊的架构设计直接dd routeros的img文件不能正常启动
以下为通过gcp 的storage创建镜像方式安装routeros系统

1，macos系统安装必要工具

brew install wget
brew install truncate
brew install gnu-tar

2，下载routeros chr镜像Raw disk image

wget https://download.mikrotik.com/routeros/6.46.3/chr-6.46.3.img.zip

3，解压镜像文件

unzip chr-6.46.3.img.zip

4，按照gcp创建镜像规则制作镜像文件

4.1，扩展镜像空间，镜像占用大小需要是1G整倍数

truncate -s 1G chr-6.46.3.img

4.2，重命名镜像文件，镜像文件需要以disk.raw命名

mv chr-6.46.3.img disk.raw

4.3，打包镜像，打包文件名需要以.tar.gz结尾

gtar -Sczf chr-6.46.3.tar.gz disk.raw

我已经打包好的镜像，zip解压出gz包后再使用
5，上传到gcp到storage
6，在gcp到compute engine到映像下创建映像
来源选择Cloud Storage 文件中刚上传到chr-6.46.3.tar.gz文件
7，创建instance的时候使用自建映像或者已创建的instance删除原启动磁盘后新建以自建映像创建新磁盘

gcp这个网络坑是vm网卡的mtu是1460，一般其他vps或云服务的都是1500。

在gcp上使用更换付费账号的方式重新撸了300刀一年，其实在15/16年就用过一年，当时台湾服务器还没被草烂，联通直连能跑满带宽，后来用的人越来越多，很多ip被墙了，到期之后就没再用。

最近发现gcp新放出来一批ip，识别地址是美国，还没有被各大视频网站（Netflix，hbo，hulu等）加入黑名单，所以又撸了一年，先用着。

之前用gcp只是用ss，没有碰到mtu的问题。这次用gcp做落地机出现了问题。
境内路由器隧道到阿里云香港然后隧道到gcp香港，再出去，由于隧道的原因链路最小mtu是1390，小于gcp网卡1460，所以没有问题。

我的苹果设备需要一个ikev2服务器访问美国服务，按之前的一键脚本一路下来很顺利，却打不开谷歌的各种服务，但是ping正常，telnet正常，刚开始以为是dns问题，一键脚本默认是8.8.8.8，服务器是169.254.169.254的内网ip，修改dns服务器地址之后依然不行。然后想到是不是gcp对nat有什么限制，遍历gcp设置，各种查文档，改配置也是一无所获。

ikev2建立连接后，客户端通过telnet发现是可以建立tcp连接的，然后通过curl -v去请求测试，发现curl -v google.com可以收到301状态码，但是curl -v www.google.com卡在tcp建立连接后接收http报文，curl -v https://www.google.com 卡在tls协商，其实从这基本可以确定是mtu问题了，因为卡住之前都是小包碰不到分片或丢包，到接收http报文或者tls协商都是大包，超过mtu都是要分片或丢包，由于关于mtu的问题很久没有遇到了，一时没想起来。

惆怅迷惑之际拿起了wireshark抓包，curl -v www.google.com后，wireshark出现“tcp previous segment not captured”，终于意识到大包被丢包了，可能是mtu问题。ifconfig发现imac的ipsec0接口mtu是1400，sudo ifconfig ipsec0 mtu 1200 up，问题解决。但是不能每个客户端都修改mtu，ios怎么修改mtu？

查询文档，谷歌建议vm网卡使用1460，说是全球链路中最大1460，先不管了修改vm网卡为1500，vm只作中转不从vm直接上传什么应该问题不大。

gcp关于strongswan的文档根本没有提到mtu问题。