[研究所] MikroTik RouterOS 學習 (持續更新) (第174頁)

luckmoneyswy
個人積分：0分
文章編號：49101657

0分

1731樓

2014-03-13 10:04

抱歉，我可能講不清楚，
RB450G是設定PPTP Client連到別人的Server嗎? (site to site)->是的，沒錯
接下來您的目的是您操作的電腦要可以連Server的區域網路;
還是Server的電腦可以連您RB450G的區域網路?
->我的目的是我操作的電腦可以連Server的區域網路，也要可以連我自己RB450G的區域網路，
但Server的電腦只可以連我到操作的電腦，

我操作的電腦是圖一中的192.168.1.2，按照網路上的操作，如圖二跟圖三，這樣就是把
192.168.1.2加入Server的區域網路，但是我就跟我RB450G區域網路的其他台電腦失聯了
，我ping不到192.168.88.2，我試著把192.168.88.2加入像圖二跟圖三這樣的設定
，一樣ping不到，

RouterOS哪可以看到我VPN的網域?

感謝

pctine

pctine
個人積分：5084分
文章編號：49102224

5084分

樓主

2014-03-13 10:33

luckmoneyswy wrote:
抱歉，我可能講不清楚...(恕刪)

不需要設 ip firewall filter & ip firewall mangle, 主要的設定只是 ip route, 所以建議你貼一下

/ip 底下的設定吧! (例如 /ip export)

FB: Pctine

luckmoneyswy

luckmoneyswy
個人積分：0分
文章編號：49103910

0分

1733樓

2014-03-13 11:49

這一長串
實在看不懂

# mar/13/2014 11:46:10 by RouterOS 6.10
# software id = HKQ5-4EWD
#
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=pool-vpn ranges=192.168.100.2-192.168.100.250
add name=pool1 ranges=192.168.1.10-192.168.1.254
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=ether2-master-local network=\
192.168.88.0
add address=192.168.1.1/24 interface=ether2-master-local network=192.168.1.0
/ip arp
add address=192.168.1.20 interface=ether2-master-local mac-address=00:1A:4D:86:9B:1B
/ip dhcp-server
add address-pool=pool1 disabled=no interface=ether2-master-local name=default
/ip dhcp-server lease
add address=192.168.1.2 client-id=1:0:25:22:a6:60:5 mac-address=00:25:22:A6:60:05 server=default
add address=192.168.88.2 client-id=1 mac-address=10:BF:48:8A:14:6B server=default
add address=192.168.88.4 client-id=1:0:e0:6f:27:9e:ce mac-address=00:E0:6F:27:9E:CE server=default
add address=192.168.88.3 client-id=1:0:e0:6f:27:9e:cf mac-address=00:E0:6F:27:9E:CF server=default
/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=168.95.192.1,8.8.8.8 gateway=\
192.168.1.1
add address=192.168.88.0/24 comment="default configuration" dns-server=168.95.192.1,8.8.8.8 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes servers=168.95.192.1,8.8.8.8
/ip firewall address-list
add address=172.16.0.0/12 comment=\
"\B3o\ACO\B7f\B0t\A8\BE\A4\F5\C0\F0\A8\CF\A5\CE,\B1\C6\B0\A3\B0\CF\BA\F4IP\A4\A7\A5\CE" list=Lan_ip
add address=192.168.0.0/16 comment=\
"\B3o\ACO\B7f\B0t\A8\BE\A4\F5\C0\F0\A8\CF\A5\CE,\B1\C6\B0\A3\B0\CF\BA\F4IP\A4\A7\A5\CE" list=Lan_ip
add address=10.0.0.0/8 comment=\
"\B3o\ACO\B7f\B0t\A8\BE\A4\F5\C0\F0\A8\CF\A5\CE,\B1\C6\B0\A3\B0\CF\BA\F4IP\A4\A7\A5\CE" list=Lan_ip
/ip firewall filter
add action=add-src-to-address-list address-list=drop_scan_ip address-list-timeout=52w1d chain=input \
comment="\\A7\\E2\\A5~\\BA\\F4\\A6b\\B1\\BD\\B4yip\\AA\\BA\\B9\\EF\\A4\\E8ip\\AB\\D8\\A5\\DF\\A6W\\B3\\E6" protocol=tcp \
psd=21,3s,3,1 src-address-list=!Lan_ip
add action=drop chain=input comment="\\A7\\E2\\A6b\\B1\\BD\\B4yip\\A6W\\B3\\E6\\AB\\CA\\A5]\\A5\\E1\\B1\\F3" \
src-address-list=drop_scan_ip
add action=add-src-to-address-list address-list=drop_scan_ip address-list-timeout=52w1d chain=input \
comment="\\A7\\E2\\A5~\\BA\\F4\\A6b\\B1\\BD\\B4yip\\AA\\BA\\B9\\EF\\A4\\E8ip\\AB\\D8\\A5\\DF\\A6W\\B3\\E6" protocol=tcp \
psd=21,3s,3,1 src-address-list=!Lan_ip
add action=drop chain=input comment=\
"\B9\EF\A4w\A6b\B1\BD\B4yip\A6W\B3\E6\A4\BA\AA\BA\A4\A3\A9\FAip\AB\CA\A5]\A5\E1\B1\F3" \
src-address-list=drop_scan_ip
add action=drop chain=input comment="\\B6\\B6\\A7\\C7\\A6\\EC\\B8m\\A5\\B2\\B6\\B7\\A9T\\A9w--> \\B6\\B6\\A7\\C71 , \\B3\\
o\\A5\\\\\\AF\\E0\\ACO\\A7P\\C2_\\A5~\\BA\\F4\\AA\\BA\\AD\\AF\\A5\\CDiP\\B1\\FD\\B9\\C1\\B8\\D5\\B3s\\C4\\F2\\B5n\\A4J\\B8\\F4\\A5\\
\\D1\\BE\\B9\\A1A\\A6b30\\AC\\ED\\A4\\BA\\B3s\\C4\\F2\\B5n\\A4J\\A4\\AD\\A6\\B8\\AB\\E1\\A1A\\A9\\F3\\B2\\C4\\A4\\BB\\A6\\B8\\B5n\\
\\A4J\\AE\\C9\\B9\\EF\\A4\\E8\\AA\\BAIP\\B4N\\B7|\\B3Q\\A9\\D4\\B6\\C2\\B5L\\AAk\\A6A\\B9\\C1\\B8\\D5(\\A8\\C3\\A5B\\A6\\DB\\B0\\CA\\
\\A9\\D4\\B6\\C21\\A4\\D1)\\A1I\\A6p\\AAG\\ACO\\B1q\\A4\\BA\\BA\\F4\\A5h\\B5n\\A4J\\B4N\\A4\\A3\\B0\\BB\\B4\\FA\\A1C\\B9w\\B3]\\B0\\
\\BB\\B4\\FA\\AA\\FD\\BE\\D7\\AA\\BAPORT \\A6\\B321,22,23,8291\\B3o6\\AD\\D3\\A1C" dst-port=21,22,23,8291 protocol=\
tcp src-address-list=login_error_ip
add action=add-src-to-address-list address-list=login_error_ip address-list-timeout=1d chain=input \
comment="\\B6\\B6\\A7\\C7\\A6\\EC\\B8m\\A5\\B2\\B6\\B7\\A9T\\A9w--> \\B6\\B6\\A7\\C72" connection-state=new dst-port=\
21,22,23,8291 protocol=tcp src-address-list=ros_service_login5
add action=add-src-to-address-list address-list=ros_service_login5 address-list-timeout=1d30s chain=\
input comment="\\B6\\B6\\A7\\C7\\A6\\EC\\B8m\\A5\\B2\\B6\\B7\\A9T\\A9w--> \\B6\\B6\\A7\\C73" connection-state=new \
dst-port=21,22,23,8291 protocol=tcp src-address-list=ros_service_login4
add action=add-src-to-address-list address-list=ros_service_login4 address-list-timeout=30s chain=input \
comment="\\B6\\B6\\A7\\C7\\A6\\EC\\B8m\\A5\\B2\\B6\\B7\\A9T\\A9w--> \\B6\\B6\\A7\\C74" connection-state=new dst-port=\
21,22,23,8291 protocol=tcp src-address-list=ros_service_login3
add action=add-src-to-address-list address-list=ros_service_login3 address-list-timeout=30s chain=input \
comment="\\B6\\B6\\A7\\C7\\A6\\EC\\B8m\\A5\\B2\\B6\\B7\\A9T\\A9w--> \\B6\\B6\\A7\\C75" connection-state=new dst-port=\
21,22,23,8291 protocol=tcp src-address-list=ros_service_login2
add action=add-src-to-address-list address-list=ros_service_login2 address-list-timeout=30s chain=input \
comment="\\B6\\B6\\A7\\C7\\A6\\EC\\B8m\\A5\\B2\\B6\\B7\\A9T\\A9w--> \\B6\\B6\\A7\\C76" connection-state=new dst-port=\
21,22,23,8291 protocol=tcp src-address-list=ros_service_login1
add action=add-src-to-address-list address-list=ros_service_login1 address-list-timeout=30s chain=input \
comment="\\B6\\B6\\A7\\C7\\A6\\EC\\B8m\\A5\\B2\\B6\\B7\\A9T\\A9w--> \\B6\\B6\\A7\\C77" connection-state=new dst-port=\
21,22,23,8291 protocol=tcp src-address-list=!Lan_ip
add action=drop chain=forward comment="\\AA\\FD\\BE\\D7P2P" disabled=yes p2p=all-p2p
add chain=input comment="\\B3o\\ACO\\A5X\\BCt\\AA\\BA\\B3]\\A9w\\AD\\C8,\\A4\\B9\\B3\\\\ping" disabled=yes protocol=\
icmp
add chain=input comment="\\A4\\B9\\B3\\\\21,22,23,80,443,1723,8291 tcp port \\B3s\\A4J" dst-port=\
21,22,23,80,443,1723,8291 protocol=tcp
add chain=input comment="\\B3o\\ACO\\A5X\\BCt\\AA\\BA\\B3]\\A9w\\AD\\C8,\\A4\\B9\\B3\\\\\\B3s\\B6i\\A8\\BE\\A4\\F5\\C0\\F0\\A4w\\
\\B3s\\BDu\\BDT\\BB{\\AA\\BA\\AB\\CA\\A5]" connection-state=established
add chain=input comment="\\B3o\\ACO\\A5X\\BCt\\AA\\BA\\B3]\\A9w\\AD\\C8,\\A4\\B9\\B3\\\\\\B3s\\B6i\\A8\\BE\\A4\\F5\\C0\\F0\\BBP\\
\\A5D\\BE\\F7\\B5o\\B0e\\A5X\\A5h\\AA\\BA\\A6\\B3\\C3\\F6\\AB\\CA\\A5]" connection-state=related
add action=drop chain=input comment=\
"\B3o\ACO\A5X\BCt\AA\BA\B3]\A9w\AD\C8 \A5\E1\B1\F3pppoe-out1\A4f\B6i\A8\D3\AA\BA\AB\CA\A5]" \
in-interface=pppoe-out1
add action=drop chain=input comment=\
"\B3o\ACO\A5X\BCt\AA\BA\B3]\A9w\AD\C8 \A5\E1\B1\F3eth1\A4f\B6i\A8\D3\AA\BA\AB\CA\A5]" in-interface=\
ether1-wan
add chain=forward comment=\
"\B3o\ACO\A5X\BCt\AA\BA\B3]\A9w\AD\C8,\C2\E0\B5o\A4\B9\B3\\\A4w\B3s\BDu\BDT\BB{\AA\BA\AB\CA\A5]" \
connection-state=established
add chain=forward comment="\\B3o\\ACO\\A5X\\BCt\\AA\\BA\\B3]\\A9w\\AD\\C8,\\C2\\E0\\B5o\\A4\\B9\\B3\\\\\\BBP\\A5D\\BE\\F7\\B5o\\
\\B0e\\A5X\\A5h\\AA\\BA\\A6\\B3\\C3\\F6\\AB\\CA\\A5]" connection-state=related
add action=drop chain=forward comment=\
"\B3o\ACO\A5X\BCt\AA\BA\B3]\A9w\AD\C8,\A5\E1\B1\F3\C2\E0\B5o\B5L\AE\C4\AA\BA\AB\CA\A5]" \
connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input \
comment="Port scanners to list " disabled=yes protocol=tcp psd=21,3s,3,1
/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=80 new-connection-mark=1.2_conn protocol=tcp \
src-address=192.168.1.2
add action=mark-routing chain=prerouting connection-mark=1.2_conn new-routing-mark=r1 passthrough=no \
src-address=192.168.1.2
add action=mark-connection chain=prerouting comment="\\BC\\D0\\B0OP2P\\AB\\CA\\A5]" new-connection-mark=\
p2p_conn p2p=all-p2p
add action=mark-packet chain=prerouting comment="\\BC\\D0\\B0OP2P\\AB\\CA\\A5]" connection-mark=p2p_conn \
new-packet-mark=all_p2p
add action=mark-connection chain=prerouting dst-port=8000 new-connection-mark=8000_conn passthrough=no \
protocol=tcp src-address=192.168.1.0/24
add action=mark-connection chain=input in-interface=pppoe-out3 new-connection-mark=pppoe3_conn
add action=mark-routing chain=output connection-mark=pppoe3_conn new-routing-mark=r3
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=XXXX-PPTP src-address=192.168.1.2
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=XXXX-PPTP src-address=\
192.168.88.2
/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-port=8000 in-interface=pppoe-out1 protocol=tcp \
to-addresses=192.168.88.2 to-ports=8000
add action=dst-nat chain=dstnat connection-mark=8000_conn dst-port=8000 protocol=tcp to-addresses=\
192.168.88.2 to-ports=8000
add action=masquerade chain=srcnat comment="\\B3o\\A4@\\B1\\F8\\A4\\A3\\AF\\E0\\A7R,\\A7_\\ABhNAT\\AA\\BA\\A5\\CE\\A4\\E1\\
\\A5X\\A4\\A3\\A5h,\\A6p\\AAG\\B1z\\AA\\BA\\B0\\CF\\BA\\F4\\A6\\B3\\AC[\\B3]server\\AA\\BA\\B8\\DC,\\A6bsrc.Address\\B3o\\A6\\
\\EC\\B8m\\ADn\\B6\\F1\\A4W\\B0\\CF\\BA\\F4\\AA\\BA\\BA\\F4\\ACq,\\A8\\D2\\A6p192.168.88.0/24,\\B3o\\BC\\CB\\A7A\\AA\\BA\\A6\\
\\F8\\AAA\\BE\\B9\\AA\\BA\\AC\\F6\\BF\\FD\\A4~\\AF\\E0\\B0\\BB\\B4\\FA\\A8\\EC\\B9\\EA\\BB\\DA\\B3s\\B6i\\A8\\D3\\AA\\BA\\A4\\BD\\BA\\
\\F4ip."
add action=dst-nat chain=dstnat comment="\\B3o\\A4@\\B1\\F8\\ACOPORT\\ACM\\AEg\\BDd\\A8\\D2,(dst-address=123.123.12\\
3.123\\B3o\\B8\\CC\\ADn\\B6\\F1\\A4JWAN\\AA\\BAIP),(to-addresses=192.168.88.5\\ADn\\B4\\AB\\A6\\A8\\B1z\\A4\\BA\\BA\\F4\\
\\A6\\F8\\AAA\\BE\\B9\\AA\\BAIP\\A6\\EC\\A7})" disabled=yes dst-address=123.123.123.123 dst-port=21 protocol=\
tcp to-addresses=192.168.88.5 to-ports=21
add action=masquerade chain=srcnat out-interface=XXXX-PPTP
/ip route
add distance=4 gateway=pppoe-out4 routing-mark=r4
add distance=3 gateway=pppoe-out3 routing-mark=r3
add distance=2 gateway=pppoe-out2 routing-mark=r2
add distance=2 gateway=pppoe-out1 routing-mark=r1
add distance=1 gateway=XXXX-PPTP routing-mark=XXXX-PPTP
add distance=2 gateway=pppoe-out5 routing-mark=r5
add distance=2 gateway=pppoe-out6 routing-mark=r6
add distance=2 gateway=pppoe-out7 routing-mark=r7
add distance=2 gateway=pppoe-out8 routing-mark=r8
add distance=1 gateway=pppoe-out1
add distance=2 gateway=pppoe-out2
add distance=3 gateway=pppoe-out3
add distance=3 gateway=pppoe-out5
add distance=3 gateway=pppoe-out7
add distance=3 gateway=pppoe-out4
add distance=3 gateway=pppoe-out8
add distance=3 gateway=pppoe-out6
/ip route rule
add disabled=yes src-address=192.168.1.2/32 table=r4
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.100.0/24,192.168.1.0/24,192.168.88.0/24
set ssh address=192.168.100.0/24,192.168.88.0/24,192.168.1.0/24
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=no

eavictor

eavictor
個人積分：6分
文章編號：49104213

6分

1734樓

2014-03-13 12:02

前幾天原廠給的v6.11更新，官網上還沒放出。
已測試過四種VPN Server都已恢復正常，但客戶端為iDevice的話使用PPTP協定還是無法登入。

PS:小弟不負任何責任，包含更新失敗或路由器變磚等狀況。

Upgrade package
http://www.mikrotik.com/download/share/routeros-tile-6.11.npk
http://www.mikrotik.com/download/share/routeros-mipsbe-6.11.npk
http://www.mikrotik.com/download/share/routeros-mipsle-6.11.npk
http://www.mikrotik.com/download/share/routeros-powerpc-6.11.npk
http://www.mikrotik.com/download/share/routeros-x86-6.11.npk

All packages
http://www.mikrotik.com/download/share/all_files_6.11.zip

Changelog
http://www.mikrotik.com/download/share/routeros_devnote.txt

pctine

pctine
個人積分：5084分
文章編號：49105194

5084分

樓主

2014-03-13 12:55

luckmoneyswy wrote:
我操作的電腦是圖一中的192.168.1.2，按照網路上的操作，如圖二跟圖三，這樣就是把
192.168.1.2加入Server的區域網路，但是我就跟我RB450G區域網路的其他台電腦失聯了
，我ping不到192.168.88.2，我試著把192.168.88.2加入像圖二跟圖三這樣的設定
，一樣ping不到，...(恕刪)

你的 dhcp server 網段是 192.168.1.0/24, 但內網 LAN 網段有兩個 192.168.88.0/24 & 192.168.1.0/24

我不確定你的內網為何一定要分成兩個網段. 建議你還是都設為同一個網段會容易管理些. 不過現在這樣做也不會有問題,　因為兩個網段都是透過 rb450G ether2 port 做 routing.

至於 pppoe-out 那麼多組的撥號連線, 小弟建議你初次使用不要搞那麼複雜, 只留一個 pppoe-out 撥好就好. 免的武功未練成就先搞死自己.

ip route to 遠端 VPN site, 不需要用 ip firewall mangle, 用網段來設就好了. 例如
/ip route add dst-address=192.168.xx.0/24 gateway=pptp-out1 (直接用遠端vpn網端來設 static route, 不需要用 mangle)

FB: Pctine

luckmoneyswy

luckmoneyswy
個人積分：0分
文章編號：49106048

0分

1736樓

2014-03-13 13:37

我打/ip route add dst-address=192.168.xx.0/24 gateway=pptp-out1
出現ERROR MESSAGE

是要打ip route add dst-address=192.168.88.0/24 gateway=pppoe-out1嗎?

pctine

pctine
個人積分：5084分
文章編號：49106963

5084分

樓主

2014-03-13 14:30

luckmoneyswy wrote:
我打/ip route add dst-address=192.168.xx.0/24 gateway=pptp-out1
出現ERROR MESSAGE

是要打ip route add dst-address=192.168.88.0/24 gateway=pppoe-out1嗎?...(恕刪)

上面的 xx.0 是要根據你實際的環境去設定的.

例如你的網段是 192.168.88.0/24 & 192.168.1.0/24, remote VPN site 是 192.168.2.0/24,

那麼裡面的 xx.0/24 就要改為 2.0/24

你要先了解上面這樣設定的意義為何, 才曉得其用法.

FB: Pctine

luckmoneyswy

luckmoneyswy
個人積分：0分
文章編號：49107320

0分

1738樓

2014-03-13 14:51

/ip route add dst-address=192.168.xx.0/24 gateway=pptp-out1
我實際上是打/ip route add dst-address=192.168.100.0/24 gateway=pptp-out1

gateway是打pptp-out1 ?
我的設定中並沒有這個"pptp-out1 "

pctine

pctine
個人積分：5084分
文章編號：49107420

5084分

樓主

2014-03-13 14:57

luckmoneyswy wrote:
gateway是打pptp-out1 ?
我的設定中並沒有這個"pptp-out1 "..(恕刪)

pptp-out1 這只是舉例, 你自己要去看你跟遠端 PPTP VPN server 建立連線的 interface 為何, 把它改為你真正的 pptp interface name.

FB: Pctine

luckmoneyswy

luckmoneyswy
個人積分：0分
文章編號：49107912

0分

1740樓

2014-03-13 15:27

http://www.strongvpn.com/setup_mikrotik_pptp.shtml

我是參考這篇文章，造著打的，只是到step 12我就不知道怎麼打了，跟我winbox的畫面不一樣，
所以我DNS就沒設定了