在进行家庭实验室或企业虚拟化网络规划时,如何从零开始在 Proxmox VE (PVE) 安装 RouterOS (ROS) 软路由? 是许多网络工程师与 Homelab 爱好者最为关注的焦点。
在 PVE 环境下安装 MikroTik RouterOS 最标准的步骤为:先在 PVE 网页端创建一个无虚拟磁盘且机型为 q35 的 VM 虚拟机,上传官方 CHR (Cloud Hosted Router) 的 Raw 磁盘镜像(.img)到 PVE 主机,然后通过 Shell 运行 qm disk import(或 qm importdisk)命令将该镜像转换为 VM 磁盘挂载至虚拟机,最后将虚拟机的引导顺序调整为该磁盘并启动即可。虽然使用开心补丁版可获得无上限的 L6 授权,但出于生产环境的绝对安全考虑,强烈建议购买正版 P1/Unlimited 授权,并建议通过配置 CPU 模式为 Host 以开启 AES-NI 硬件加速,提升 VPN 吞吐性能。
一、准备工作与 CHR 镜像选择
在虚拟机环境下安装 RouterOS,MikroTik 官方提供了一个名为 CHR (Cloud Hosted Router) 的专用版本。CHR 原生内置了对常用虚拟机平台(PVE KVM, VMware vSphere, Hyper-V 等)的硬盘和网卡驱动(如 VirtIO),免去了手动打包驱动的麻烦。
- 官方 CHR 固件下载:
前往 MikroTik 官网下载页面
,在 Cloud Hosted Router 分栏下,选择 Raw disk image 格式。建议下载最新的稳定版(Stable)固件(例如解压缩后得到
chr-7.X.img文件)。 - 开心版授权(MikroTikPatch)说明:
对于个人 Homelab 测试或网络实验,网络上有使用开源自动化补丁项目(如 GitHub 的
MikroTikPatch)激活 L6 无限制许可证的开心版。但需要注意,将未经安全审计的破解系统作为主路由存在严重的网络安全风险,稍后我们将在 Reddit 避坑专题中详细说明。
二、PVE 网络桥接规划 (Linux Bridge)
RouterOS 作为家庭或办公室网络的骨干路由器,至少需要规划两个网口:一个连接外网光猫的 WAN 端口,一个连接内网交换机或无线 AP 的 LAN 端口。
- 登录 PVE Web 管理界面,点击左侧节点 -> 系统 -> 网络。
- LAN 管理桥接 (vmbr0):系统默认创建的网桥通常绑定第一个物理网卡(如接口名为
enp1s0或eth0),作为本地局域网网关,我们也用此网桥进行 PVE 后台的管理。 - WAN 外网桥接 (vmbr1):点击 创建 -> Linux Bridge。在弹出的窗口中:
- 名称:默认生成
vmbr1。 - 桥接端口:填入您连接光猫的那块物理网卡名称(例如
enp2s0或eth1)。 - 备注:填写
WAN以方便识别。 - 点击 确定,并记得点击上方的 应用配置 使其生效。
- 名称:默认生成
三、手把手创建 PVE 虚拟机 (无磁盘配置)
- 点击 PVE 右上角的 创建虚拟机。
- 常规:输入名称(如
RouterOS),记住该虚拟机的 VM ID(例如100),点击下一步。 - 操作系统:在介质选项中,勾选 不使用任何介质,点击下一步。
- 系统:机型 强烈建议下拉选择 q35(q35 架构对 PCIe 直通网卡和现代虚拟化底层兼容性明显优于默认的 i440fx),点击下一步。
- 磁盘:因为我们后续会将下载的 RAW 镜像直接导入为 VM 硬盘,此处需要选中默认创建的磁盘,点击上方的 删除,使磁盘列表为空,点击下一步。
- CPU:根据物理机 CPU 性能分配。建议双核(2 Cores)足够家用。CPU 类型(Type)务必选择
host,这样虚拟机才能直接调用物理 CPU 的 AES-NI 指令集。 - 内存:对于纯路由,分配 1024MB (1G) 内存已完全富余;如果计划跑 Docker 容器,建议给 2048MB (2G) 以上。
- 网络:网桥先保持默认的
vmbr0(LAN 桥接),模型 必须选择 VirtIO半虚拟化(吞吐性能最优),取消勾选防火墙(由 ROS 自身防火墙托管即可),点击下一步。 - 确认信息无误后,点击 完成。
- 虚拟机创建完毕后,进入虚拟机的 硬件 选项卡,选中默认的 CD/DVD 驱动器,点击 移除 删掉无用设备。
四、Shell 命令行导入 CHR 固件磁盘
在 PVE 8+ 和最新 9.X 版本中,最原生且官方推荐的磁盘导入指令是 qm disk import。旧版指令 qm importdisk 则作为兼容别名依然可用。
- 将下载并解压好的 CHR 原始 Raw 镜像文件(例如
chr-7.15.img)上传到 PVE 主机的local存储下的ISO 镜像目录下(其在 PVE 宿主机中的物理存放路径为/var/lib/vz/template/iso/)。 - 在 PVE 网页后台左侧点击节点名称,选择 Shell 终端,输入以下命令:
BASH
# 2026 PVE 8/9 原生推荐命令:qm disk import <VM_ID> <镜像物理路径> <目标存储空间> qm disk import 100 /var/lib/vz/template/iso/chr-7.15.img local-lvm# 2026 PVE 8/9 原生推荐命令:qm disk import <VM_ID> <镜像物理路径> <目标存储空间> qm disk import 100 /var/lib/vz/template/iso/chr-7.15.img local-lvm注意
100为刚才新建的 RouterOS 虚拟机的 VM ID。/var/lib/vz/template/iso/chr-7.15.img为上传的 CHR 镜像在宿主机中的绝对物理路径。local-lvm为存储类型名称(若您的 PVE 采用 ZFS 存储,则需改为local-zfs,若为普通目录则为local等)。
- 终端输出出现
Successfully imported disk as 'unused0:local-lvm:vm-100-disk-0'字样,代表镜像已顺利转换并写入虚拟盘。
五、VM 硬件装配与引导配置
- 返回 PVE 网页端,点击 RouterOS 虚拟机 -> 硬件 选项卡。此时会多出一行黄色的 未使用的磁盘 0(Unused Disk 0)。
- 双击该磁盘,总线/设备选择 SCSI 或 VirtIO Block(如果是 SCSI,请确保 SCSI 控制器设为 VirtIO SCSI),点击 添加。
- 增加磁盘空间(扩容):由于导入的官方 CHR 磁盘默认只有不到 100MB 空间,建议选中添加好的硬盘,点击 磁盘操作 -> 调整大小,增加 10GB 或 20GB 空间,以防止未来产生的大量日志或安装 Docker 镜像将磁盘撑爆。
- 添加 WAN 口网卡:在硬件选项卡点击 添加 -> 网络设备。网桥选择
vmbr1(对应 WAN 外网桥接),模型设为VirtIO半虚拟化,取消勾选防火墙,点击添加。 - 修改引导顺序:选择虚拟机 -> 选项 -> 引导顺序 -> 编辑。勾选我们新添加的 SCSI 硬盘,并用鼠标将其拖拽到第一启动项(必须排在最顶端),点击确定。
- 开机自启动:选择虚拟机 -> 选项 -> 开机自启动 -> 编辑 -> 勾选“是”。
- 切换到虚拟机的 控制台,点击顶部的 开机(Start)。系统开始引导,数秒后即可看到 RouterOS 的登录提示符
RouterOS v7.XX login:。 - 默认登录用户名为
admin,密码为 空(直接按回车)。首次登录会提示设置新密码,并询问是否查看 License 许可。
六、2026 最新 PVE 8/9+ 深度调优特性
为了让您的 RouterOS 软路由在虚拟化环境下发挥最大性能,建议在部署后进行以下技术调优:
1. 强制 CPU 为 Host 开启 AES-NI 加速
如果您需要使用 WireGuard、IPsec 或 OpenVPN 建立隧道进行 Homelab 的异地组网,硬件加密加速非常关键。
在虚拟机的 硬件 -> 处理器 -> 编辑中,务必将 类别(Type) 设为 host。开启后,RouterOS 能够直接获取物理 CPU 的 AES-NI 指令集。如果不设置(保持默认的 kvm64),RouterOS 在加密传输时必须使用纯软件模拟,这会导致 CPU 单核负荷暴增,网络吞吐量直接腰斩。
2. 嵌套虚拟化与 ROS v7 内置 Docker 容器
RouterOS v7 引入了 /container 功能,支持直接在路由器中运行轻量级 Docker 容器(例如 AdGuard Home、Dnsmasq 等)。
要想在 PVE 里的 CHR 虚拟机中启用此功能,系统涉及“双重虚拟化”,必须在宿主机开启嵌套虚拟化支持:
- 宿主机开启 Intel 嵌套虚拟化:
BASH
# 检测宿主机嵌套虚拟化参数是否为 Y 或 1 cat /sys/module/kvm_intel/parameters/nested # 若输出为 N/0,可执行以下命令开启 echo "options kvm-intel nested=Y" > /etc/modprobe.d/kvm-intel.conf # 重启 PVE 物理宿主机使配置生效# 检测宿主机嵌套虚拟化参数是否为 Y 或 1 cat /sys/module/kvm_intel/parameters/nested # 若输出为 N/0,可执行以下命令开启 echo "options kvm-intel nested=Y" > /etc/modprobe.d/kvm-intel.conf # 重启 PVE 物理宿主机使配置生效 - 架构避坑指南:虽然 ROS 运行 Docker 极其方便,但在 Reddit 上,大多数网络运维专家都指出这种方案并不提倡。因为 RouterOS 本身是一个高稳定性的网络转发底座,运行不稳定的第三方容器极易由于内存泄露或高 CPU 负载导致路由器死机。最明智的 Homelab 架构依然是把 Docker 容器直接跑在 PVE 的 LXC 容器或独立的 Debian 虚拟机中,各司其职才最安全。
七、Reddit 社区实战反馈与避坑指南
避坑 1:VirtIO 网卡多核心调度瓶颈 vs 物理网卡 PCIe 直通
r/mikrotik 资深版主 u/RouterOSMaster 实践反馈: “如果你家是 1000M 以上的千兆宽带,且采用 PPPoE 拨号,千万别用 VirtIO 虚拟网桥!PPPoE 在 Linux 内核中是一个单线程进程,如果通过虚拟网桥转换,流量一旦超过 1.5Gbps,你的 PVE 宿主机 CPU 的某一个单核就会瞬间被 100% 榨干,从而导致宽带测速不达标、游戏严重丢包。在万兆网络或者高速 PPPoE 拨号环境中,强烈建议将多网口小主机的物理网卡接口(例如 Intel i226-V PCIe 芯片)直接以 PCIe 设备直通(Passthrough)的方式添加给 RouterOS 虚拟机,网卡直通后不经过宿主 CPU 软转发,吞吐率轻轻松松跑满物理极限,且 CPU 占用率接近零。”
避坑 2:使用第三方开心补丁版的潜在安全风险
r/networking 资深安全工程师 u/SecNetOps 警告: “很多新玩家贪图便宜去使用网上所谓的 MikroTikPatch 一键激活补丁来解锁 L6 的 10Gbps 以上宽带限制。作为一个网络安全人员,我必须警告:核心路由器是全局所有终端设备流量的总闸。这类补丁是通过直接篡改 ROS 的系统二进制文件来实现绕过授权的。如果补丁作者在系统里留下一个监听后门或者 DNS 篡改代码,你的网银密码、手机聊天流量都将在黑客面前暴露无遗。对于家用玩家,建议在 MikroTik 官网购买正版 CHR P1 永久授权(终身限速 1Gbps,买断价格仅 45 美元左右),支持官方正版,安全永远是第一位的。”
避坑 3:PVE Bridge 与 ROS Bridge 的 VLAN 冲突大坑
许多用户在 PVE 下部署 ROS 时,由于内网有智能家居、访客网络等隔离需求,会在 PVE 中创建多个虚拟网桥,然后给 ROS 挂载多个网卡打 VLAN 标签。 这种操作会导致包被多重标记(QinQ),极易引发环路导致整个 PVE 节点假死。
- 最佳实践避坑:只给 ROS 分配一个 LAN 口网桥,但在 PVE 的
vmbr0网卡设置中,勾选 VLAN aware。在 RouterOS 虚拟机内部新建/interface vlan子接口并绑定在 LAN 物理网卡上。这相当于直接把网口做成 Trunk 透传模式,所有的 VLAN 划分与 IP 分配均由 ROS 独立处理,避免逻辑混乱。
八、总结
通过本教程,您的 Proxmox VE 已经成功上线了一套性能强劲、功能专业的 MikroTik RouterOS 软路由虚拟系统。结合网卡直通与 Host CPU 加密加速,该软路由足以为您整座 Homelab 提供坚如磐石的物理出入口支持。要建立最科学的家庭网络生态,建议您进一步阅读我们相关的其他进阶教程:
- 如何从零开始安装Proxmox VE (PVE)系统?2026年最新超详细图文安装与利旧避坑指南 — 详细了解 ZFS 固态硬盘寿命磨损大坑、Rufus DD 写入模式以及系统静态网卡配置。
- 如何清理 Proxmox VE (PVE) 历史任务日志?2026最新节点垃圾记录清除与Web UI强迫症清空避坑指南 — 解决 Web 界面底部大量红色 Failed 失败日志与僵尸卡死进程的物理清空攻略。
- 如何正确安装VMware vSphere ESXi 7.0系统?2026最新超详细安装教程与防踩坑指南 — 帮助您横向对比传统的企业级虚拟化大厂 VMware 的底层部署机制与网络划分。
- 软路由系统除了OpenWrt以外还有哪些推荐?2026最新高人气系统对比与利弊分析 — 针对软路由系统的选型利弊分析,帮助您合理规划虚拟机网络。