[研究所] MikroTik RouterOS 學習 (持續更新) (第136頁)

gfx
個人積分：1603分
文章編號：47524442

1603分

1351樓

2013-12-03 10:23

ddk886 wrote:
嗯~所以內部鎖網芳可...(恕刪)

上網查了些資料,無法透過防火牆封鎖NetBIOS連接埠來阻擋網芳的兩個原因:
1.

2.
透過NetBIOS over TCP/IP的方式連接不同網路,它主要應用TCP/IP協定,而非NetBIOS
http://goo.gl/5d6XR5
http://goo.gl/SwyJXV

RT-N16裡的網芳選項應該是NetBEUI(NetBIOS over TCP/IP)的開關,
當電腦啟動時本機會先廣播,通知網路中其他電腦,如果其他電腦也啟動了NetBIOS ,
就會記錄下來該電腦的情況(例如已啟動及已分享的資料),
並在一定時間內掃描該電腦是否正常運作.

pctine

pctine
個人積分：5084分
文章編號：47529530

5084分

樓主

2013-12-03 14:43

RouterOS v6.7 released

What's new in 6.7 (2013-Nov-29 13:37):

*) support Android usb tethering interface;
*) ipsec - added aes-gcm icv16 encryption mode;
*) wireless - improve rate selection for nstreme protocol
*) poe - new poe controller firmware for RB750UP and OmniTIK UPA;
*) ipsec - added aes-ctr encryption mode;
*) leds - inverted modem signal trigger, now it will trigger when the signal level rises above the treshold;
*) ipsec - added sha256 and sha512 support;
*) ipsec - proposal defaults changed to aes-128 and sha1 for both phase1 and phase2;
*) certificate - support ip, dns and email subject alternative names;
*) dhcpv4 server - added REMOTE_ID option variable for relayed packets;
*) ipsec - fix policy bypass on IPv6 gre, ipip, eoip tunnels when policy uses protocol filter;
*) userman - fix crash on tilera;
*) fixed hairpin nat on bridge with use-ip-firewall=yes;
*) fixed vlan on bridge after reboot having 00:00:00:00:00:00 mac address;
*) address-list - allow manually adding timeoutable entries;
*) address-list - show dynamic entry timeout;
*) fixed l2mtu changing on CCRs - could cause port flapping;
*) disabling/enabling ethernet ports did not work properly on CCRs - could cause port flapping;
*) fixed port flapping on CCR - could happen when having other than only-hardware-queue interface queue.
Note that having other interface queue than only-hardware-queue dramatically reduces performace, so should be avoided if possible;

ps: address-list timeout option 在 winbox UI 沒有做, 已反應給原廠, 回覆下次會修正此問題.

FB: Pctine

pctine

pctine
個人積分：5084分
文章編號：47530670

5084分

樓主

2013-12-03 15:49

ddk886 wrote:
小弟照您的教學"防止他人修改固定IP"的lab進行測試，遇到了一個小問題。
首先ether2的部分arp已改為reply-only，Dhcp server的address pool也改為static-only。
一台已經手動指定IP的client端PC，再來將允許存取的client端的PC網卡mac及ip手動新增在dhcp lease清單，如下圖。...(恕刪)

我已在之前的文件加上補充了.

手動指定 IP 的 client 無法上網是正常的, 你必須手動在 RouterOS /ip arp 增加該電腦或設備的 mac address. 至於原因為何? 就是因為 interface arp option 已設為 reply-only 了.

FB: Pctine

kuenming

kuenming
個人積分：13分
文章編號：47531754

13分

1354樓

2013-12-03 16:46

請問有辦法在讓 RouterOS 的 Web Proxy 去走 VPN 連到特定網站,其他網站一樣走RouterOS 本身NAT

如
電腦設定 RouterOS Proxy
要連到 http://www.dmm.com/ 就走 Tsunagarumon VPN,連到 http://tw.yahoo.com 就走本身NAT

我有參考 #540樓 chipinwu大與 #582樓 gfx大文章來設定,可是 Web Proxy 不走 VPN 出去

[更新] 剛剛發現好像是 VPN 沒有連線的問題,在log 一直出現這個訊息 "failed to authenticate ourselves to peer"

gfx

gfx
個人積分：1603分
文章編號：47532861

1603分

1355樓

2013-12-03 17:39

kuenming wrote:
請問有辦法在讓 Ro...(恕刪)

1.下載JapanIPList.rsc日本IP列表

2.把JapanIPList.rsc 拉進winbox的Files視窗

3.打開New Terminal視窗,輸入import JapanIPList.rsc
進行匯入..

4.設定Tsunagarumon VPN

5./IP Firewall NAT

6./IP Firewall Mangle

7./IP Routes

電腦不需設定web-proxy ,
電腦日後只要遇到日本IP的網站,RouterOS會自己判斷要不要靠Tsunagarumon轉接出去

pctine

pctine
個人積分：5084分
文章編號：47533294

5084分

樓主

2013-12-03 18:04

kuenming wrote:
請問有辦法在讓 RouterOS 的 Web Proxy 去走 VPN 連到特定網站,其他網站一樣走RouterOS 本身NAT
...

[更新] 剛剛發現好像是 VPN 沒有連線的問題,在log 一直出現這個訊息 "failed to authenticate ourselves to peer"...(恕刪)

即使你的 VPN 建立起來了, 如果只是照著前面文章範本去做, RouterOS web proxy 仍然是不會走 VPN tunnel, 因為前面文章寫的都是 client 經 Mikrotik router 怎麼透過 VPN tunnel 翻牆.

如果你要透過 web proxy 出去, 有一個地方必須注意, 在做 ip firewall mangle 時, 額外要處理的是 output chain.

/ip firewall mangle
add action=mark-routing chain=output comment="Mark China IP - from router" \
dst-address-list=ChinaIPList dst-port=80 new-routing-mark=ChinaIP \
passthrough=no protocol=tcp

FB: Pctine

kuenming

kuenming
個人積分：13分
文章編號：47533477

13分

1357樓

2013-12-03 18:18

真奇怪@@"
真的一直卡在VPN 一直連不上去,有開PPTP 的log 起來

最後後面錯誤訊息是
"pptp-Tsunagarumon:rcvd CHAP Failure id=0x1 E=691 R=0 M="
"You are already logged in - access denied"

可是我又沒在其他地方登入此VPN

gfx

gfx
個人積分：1603分
文章編號：47533569

1603分

1358樓

2013-12-03 18:23

kuenming wrote:
真奇怪@@"真的一直...(恕刪)

連線IP換49.212.48.199試試, 49.212.0.54有時候很難連得上.

gfx

gfx
個人積分：1603分
文章編號：47533756

1603分

1359樓

2013-12-03 18:38

pctine wrote:
即使你的 VPN 建...(恕刪)

個人覺得根本不用費力去弄web-proxy

第一:它沒加密認證 (即使用Y大曾指導Socks方式認證,但個人覺得還是很不便)

第二:手機3G連線時無法設定proxy ,簡直無用武之地

第三:ROS有眾多VPN Server可用,手機即使不安裝VPN Client也支援PPTP/L2TP方式連線.

第四:web-proxy無法連結家中其它網路電腦,但VPN Client可以.

第五:emome mCool手機用戶也可以改掛VPN方式連線,不一定得賴著proxy才行...

種種原因讓我覺得Mikrotik遲遲不更新web-proxy是有理由的,遲早面臨存廢的一天!

pctine

pctine
個人積分：5084分
文章編號：47534138

5084分

樓主

2013-12-03 19:07

gfx wrote:
種種原因讓我覺得Mikrotik遲遲不更新web-proxy是有理由的,遲早面臨存廢的一天!...(恕刪)

內建 web proxy 沒有什麼不好, 再者還有很多 x86 機種也是跑 routeros, 效能也不錯, Mikrotik 沒有理由去拿掉這個功能.

FB: Pctine