RouterOS双软路由网关配置实战：避坑指南与常见问题解决

# RouterOS双软路由网关配置实战：避坑指南与常见问题解决 很多玩家在搭建家庭网络或小型办公网络时，喜欢用RouterOS配合软路由做双网关方案，一个跑流量，一个跑VPN或专线。这种方案本身没问题，但在实际配置过程中，稍有不慎就会遇到网关冲突、策略路由不生效、无法正常上网等问题。今天就把几个典型的踩坑场景整理出来，供大家参考。 ## 场景一：双网关同时启用却走了同一条默认路由 这是最常见的情况。很多人以为只要给软路由接两条WAN线、配置两个网关，系统就会自动分流。实际上RouterOS默认只有一条默认路由，另一条WAN即使配置了IP和网关，也形同虚设。 正确做法是进入IP→Routes，给两条WAN分别添加默认路由，其中一条要设置distance值大于1。然后在IP→Firewall→Mangle里打标签，用IP→Routes的 routing-mark 强制指定某条流量走特定网关。具体来说，比如WAN1跑正常流量，WAN2跑特定业务，就要在mangle里对目标IP段做MARK CONNECTION和MARK ROUTING，然后在路由表里把WAN2网关绑定到对应的routing-mark。 ## 场景二：策略路由匹配了却没生效 有人在mangle里明明配置了规则，流量却没有按预期走。这时候先检查规则的chain方向，prerouting处理的是本路由器的转发流量，input处理的是发往本机的流量，很多人搞混了。另外还要确认是不是有其他规则优先级更高，先把规则序号往前挪试试。 还有一个容易忽略的点：mangle的MARK CONNECTION和MARK ROUTING要配对使用。MARK CONNECTION负责记录连接状态，MARK ROUTING负责指定路由表，两者缺一不可。 ## 场景三：DNS解析在双网关环境下出错 双网关环境下，如果两家运营商的DNS解析结果不一致，或者某个DNS服务器只能通过特定网关访问，就可能出现域名解析失败。推荐在内网统一用一套DNS服务器，比如用RouterOS自身的DNS功能做递归解析，然后通过IP→Firewall→NAT把内网主机的DNS请求统一转发到RouterOS处理，这样可以避免DNS解析因网关选择不同而出现结果不一致的问题。 ## 场景四：切换网关时出现连接中断 当主网关down掉切换到备用网关时，已建立的连接不会自动迁移，导致访问中断。可以在IP→Routes里给两条默认路由分别设置check-gateway功能，让RouterOS自动检测网关可达性。一旦主网关ping不通，路由自动切换到备用网关。但要注意，这种切换对已经建立的连接无效，只有新连接才会走新路由。 ## 场景五：IPsec或WireGuard VPN与双网关冲突 跑VPN的时候，如果VPN tunnel绑定到了错误的网关，隧道就会频繁断开。解决办法是在IP→IPsec或WireGuard的设置里，明确指定本地出口IP或者绑定到正确的routing-mark。绑定方法是在对应隧道的设置里填上local-address，指向能正常通信的WAN口IP。 ## 总结 RouterOS做双网关配置的核心在于三点：一是确保两条默认路由都生效（通过distance和routing-mark配合），二是策略路由的mangle规则方向和优先级要正确，三是DNS、VPN等辅助功能要跟网关策略配套调。配置完成后一定要做完整的双向测试，既要测从内网访问外网，也要测从外网访问内网服务，还要模拟主备网关切换的场景，验证系统能否自动恢复。