lenjuon wrote:
朋友是用分享器沒錯,因為要模擬,但是她說她接在Lan port,不是wan port,是意圖如下!!,...(恕刪)
那他也應該把分享器上的 DHCP server 功能關掉.
小弟自己和很多朋友從前都是 Draytek Vigor router 的愛用者, 此處說明如何在 MikroTik router 及 Vigor router 間建立 IPSEC VPN.
MikroTik(dial-out): 192.168.22.0/24, WAN固定IP
Vigor(dial-in): 192.168.10.0/24, WAN動態IP or 固定IP, 實作以 vigor 2920n 測試.
預設 RouterOS 並未開啟 IPSEC log, 為 debug 方便請自行至 system logging 開啟.
Vigor 端的設定:
Call Direction: Dial-In
Allow Dial-in Type: IPSEC
Pre-Shared Key: 自行設定,必須和 MikroTik 端相符.
Remote Network IP: 192.168.22.0
Remote Network Mask: 255.255.255.0
Local Network IP: 192.168.10.0
Local Network Mask: 255.255.255.0
MikroTik 端的設定:
1.IP firewall
/ip firewall nat
add action=accept chain=srcnat comment="VPN to TEST site" disabled=no \
dst-address=192.168.10.0/24 src-address=192.168.22.0/24
2.IPsec Proposals: 採用預設的 default 即可.
3.IPSEC Peer: Address 指向 Vigor Router WAN IP, Secret 填入 pre-shared key
4.IPSEC Policy: 設定為 Tunnel 模式. Dst Address 指向 Vigor WAN IP
經過上述設定後即完成. 但 VPN Tunnel 不會自行建立, 必須要有 trigger 才會接通, 如果要讓它 keep-alive 不掉線, 再加這個就可以了. 每分鐘去 ping remote site LAN IP 就好了.
src-address=Mikrotic router LAN IP.
/system scheduler
add disabled=no interval=1m name="Ping remote" on-event=\
"ping 192.168.10.1 src-address=192.168.22.254 count=1" policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
start-date=feb/23/2013 start-time=19:58:22
另VPN 連線狀態可於 ip > ipsec > remote-peers 可看到.
[admin@MikroTik] /ip ipsec remote-peers> print
0 local-address=123.123.123.123 remote-address=59.120.xxx.xxx state=established
side=initiator established=1m26s
Draytek Vigor to MikroTik IPSEC VPN
前面介紹的是從 MikroTik dial to Vigor router, 實際上也可以改由 Vigor dial to MikroTik, 設定上大致相同, 但因為是由 Vigor 主動建立 VPN, 那麼 keep-alive 的選擇就是由 Vigor 來決定, 在 Vigor VPN 很簡單勾選 "Always on" 就好了. 而 MikroTik 端就不需要那個 schedule ping 的動作.
至於到底是由那端主動去建立 VPN Tunnel? 如果兩端都是固定 IP 就無所謂, 但如果有一端為動態 IP, 那麼由動態 IP 端向固定 IP 端請求建立 VPN 是比較容易做的. 若兩端都是動態 IP? 那 Vigor 因為 dst.address 可用 host name, 但 MikroTik 只能用 IP, 所以由 Vigor 發出請求會容易些, 如果硬要由 MikroTik dial-to Vigor, 必須配合 script 做 host name to IP resolve, 再代入 IPSEC 設置, 這樣就麻煩多了.
補充說明
1.Draytek LAN-to-LAN VPN 的 call direction 一般都會設為 dial-in or dial-out, 但其實也可以設定 Both direction, 它一方面接受從 remote 過來的 IPSEC 連線請求, 另一方面也可以主動對外連線, 此部份的設定較為靈活, 端看 User 兩端所使用的 VPN Server 而定.
2.在 MikroTik VPN, 此份 youtube 的教學很有參考價值.(click here)
FB: Pctine
在 MikroTik 官網有不少關於防堵網站的做法, 大致上就是開啟 web-proxy 功能, 在上面根據 url 關鍵字做 drop 的動作, 但色情網站百百種, 只是根據 url keyword 是無法防堵的.
剛才在研究 HiNet 色情守門員的作法, 當初猜測它應該是利用向特定的 DNS server query 來識別色情網站的, 想不到類似的想法早有人實現了.
OpenDNS
其中有二組 DNS server 就是專處理這種的.
Family Shield Servers(阻擋成人網站和含有惡意軟體網站)
208.67.222.123 (resolver1-fs.opendns.com)
208.67.220.123 (resolver2-fs.opendns.com)
至於怎麼和 MikroTik Router 結合? 就把它套在 web-proxy & 利用 firewall rule 設定 transparency proxy 就可以搞定.
參考這裡吧 - How to block adult web site
不僅僅是 block 色情網站, 至 opendns.com 登錄, 客製化你要 block 的類別. 這個好好應用, 也不用傻傻每月去繳 Hinet 色情守門員的費用了.
FB: Pctine
pctine wrote:
如何防止 Us...(恕刪)
請問如果要跟這一個 相反的設定~ 應該在哪裡設定~~
我在一些 IP 上做了限速~
把 DHCP 關掉 ~ 強制打IP 才能上網~
要怎麼設定才可以把我沒限速的IP 限制他不能上網~
MikroTik Router 做為 L2TP VPN Server, 供 User 遠端 dial-in.
啟用 L2TP Server
建立 PPP profile, Remote Address 為欲配發的 IP Pool.
建立 usre 帳號及密碼, Service 選擇 L2TP
同樣的在 LAN interface 設置 arp=proxy-arp (具體說明請參考官方文件)
/interface ethernet
set ether2-lan arp=proxy-arp
Client 端的程式直接 Download Draytek Smart VPN client 來用, 輸入 VPN server IP, 帳號密碼即可連線.
注意
1.L2TP 連線和 PPTP 連線方式設置大致相同, 但 L2TP 資料傳輸為未加密 or MPPE128加密, 在安全等級上並不高, 通常會採用 L2TP over IPSEC (L2TP/IPSEC) 來補強.
2.在 PPP > secret 的設置上, 所採用的 protocol 可設為 any, 這樣因為 routeros 可支援多種 VPN 連線, client 可自行選擇其適用的 protocol 來連線 VPN Server.
FB: Pctine
RouterOS 內建 Bandwidth test tool, 於官網也可以下載 windows 版本的 btest 程式, 而 bandwidth tool 它可以做為 server 端或是 client 端.
例如之前提及的 simple queue 頻寬控制, 可利用 bandwidth test tool 來驗證.
啟用 RouterOS 上的 Btest srever (tools > BTest server), 並建立一 1M/2M simple queue
於 windows client 執行 btest, 目的地 server 指向 RouterOS IP. 並指定欲做 upload or download 測試.
如圖, 一開始頻寬即正確的鎖在 2Mbps, 於中途變更 download 限制至 1Mbps, btset 也即時反應出該狀態.
上述只是簡單的測試, 也可以拿 BTest tool 來做 router throughput 測試, 但此時就需要至少三台裝置, 一台 server, 一台 client, 而中間的 router 則用來測試 throughput 用.
當然更專業的做法可以透過 iperf 程式, 不過此時就麻煩多了, 不若 btest tool 方便.
既然要做 throughput or bandwidth 測試, 那麼就儘可能不要有其他 client 連線影響測試結果, 再者 bandwidth test tools 相當耗費系統資源, 在測試時也是必須注意的地方
官方文件: bandwidth test tool
FB: Pctine
內文搜尋
從 APP 打開
X