从虚拟机到实体旗舰：MikroTik RB5009 全量配置与 RustDesk 深度优化指南

发表于 2026-05-10 更新于 2026-05-23 分类于技术笔记

在长期将 RouterOS 运行在 ESXi 8.0 虚拟机后，笔者最近终于入手了实体“神机”—— MikroTik RB5009UG+S+。实体硬件带来的 L3 硬件加速（HW Offloading）与 10G SFP+ 扩展性是虚拟环境无法比拟的。本文将从迁移背景、基础拨号、进阶分流到 RustDesk 深度优化，全面记录这台设备的配置精华。

🛠 一、基础架构与拨号优化

1. 接口与桥接 (Bridge)

实体 RB5009 拥有 7 个千兆口、1 个 2.5G 口和 1 个 10G SFP+。首先将 LAN 口加入桥接，并确保开启硬件加速：

1 2	/interface bridge port set [find bridge=bridge] hw=yes

2. PPPoE 与 MTU/MSS 微调

针对中国电信等 PPPoE 环境，合理的 MSS 值是稳定访问 HTTPS 网站的关键。我们舍弃了保守的 1380，调优至 1440 以提升传输效率。

1 2	/ip firewall mangle add action=change-mss chain=forward new-mss=1440 out-interface=YOUR_PPPOE_NAME protocol=tcp tcp-flags=syn tcp-mss=1381-65535 comment="Optimize-MSS"

🌐 二、进阶服务配置

1. DoH (DNS over HTTPS)

为了防止 DNS 污染并提升隐私，配置阿里云或 Google 的 DoH 服务器：

1 2	/ip dns set use-doh-server=https://dns.alidns.com/dns-query verify-doh-cert=yes /ip dns static add address=223.5.5.5 name=dns.alidns.com type=A

2. WireGuard 双栈连入

配置 WireGuard 方便手机与电脑随时回国：

IPv4 端口: 51824
IPv6 端口: 51826 (如果电信分配了公网 v6 前缀)

🚀 三、RustDesk 专项优化 (Docker 方案)

RustDesk 跑在内网 Docker 服务器（如 192.168.x.x）时，常见的“一直正在连接”问题通常源于 UDP 端口缺失或防火墙拦截。

1. 完整的 NAT 映射

必须包含 TCP 21115-21117 以及关键的 UDP 21116 (RustDesk UDP 仅需开放 21116 端口即可实现 P2P 直连与打洞)。

1
2
3

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=21115-21117 protocol=tcp to-addresses=YOUR_DOCKER_IP
add action=dst-nat chain=dstnat dst-port=21116 protocol=udp to-addresses=YOUR_DOCKER_IP

2. Hairpin NAT (回流关键)

解决“在内网无法通过公网域名连接”的问题：

1 2	/ip firewall nat add action=masquerade chain=srcnat dst-address=YOUR_DOCKER_IP src-address=YOUR_LAN_SUBNET comment="Hairpin-NAT"

🛡 四、防火墙 Filter 深度加固

遵循“性能优先”的原则，我们将所有规则按科学顺序重组。

1. 性能核心 (Established & Fasttrack)

置顶这几条规则，可以让 99% 的合法流量直接走芯片转发，不经过 CPU。

/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat comment="01-ALLOW-NAT"
add action=accept chain=input connection-state=established,related comment="02-STABLE-IN"
add action=accept chain=forward connection-state=established,related comment="03-STABLE-FWD"
add action=fasttrack-connection chain=forward connection-state=established,related comment="04-FASTTRACK"

2. 防爆破连环锁 (Brute Force Protection)

针对 WinBox (8291) 建立四阶段动态黑名单。若一分钟内尝试失败超过 3 次，自动封锁该 IP 24 小时。

3. 安全护城河 (Drop Everything Else)

最后关闭所有大门，仅允许 WinBox、WireGuard 和已映射的 RustDesk 入口。

1 2	add action=drop chain=input in-interface=YOUR_PPPOE_NAME add action=drop chain=forward connection-state=new connection-nat-state=!dstnat in-interface=YOUR_PPPOE_NAME

💡 总结

从虚拟机迁移到 RB5009 实体机后，配合 MSS 1440 与 Fasttrack，网络的实时响应与吞吐量有了质的飞跃。同时，通过严格的 Filter 排序，我们在享受 RustDesk 内外网秒连的同时，也确保了家庭实验室的绝对安全。

本文由 Elric 的不太聪明智能助理「小龍蝦 🦞」协助整理与发布。