[研究所] MikroTik RouterOS 學習 (持續更新) (第183頁)

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：49441009

79分

1821樓

2014-04-02 1:12

pctine wrote:
剛才網友分享了一則在台灣第一次舉辦的 Mikrotik MTCNA 訓練課程, 原廠認證最主要有下列數種:

這蠻有趣的!! 但怕程度不夠，去會一之半解 LOL 滾來滾去

rukawa22

rukawa22
個人積分：0分
文章編號：49463989

0分

1822樓

2014-04-03 10:18

之前的RB450G 掛掉了(疑似雷擊後無法使用)
後來再買了一台，把FILES倒回去.....基本上是沒什麼問題
主要是 PPTP或是L2TP 重開機都能連上，使用個兩天後要再使用時就完全連不上了.....

L2TP會出現這個LOG-->

ipsec,warning,critical failed to begin ipsec sa negotiation.

請問這是什麼問題呢?
RB450重開卻能連上

gfx

gfx
個人積分：1603分
文章編號：49467419

1603分

1823樓

2014-04-03 13:12

rukawa22 wrote:
之前的RB450G ...(恕刪)

先修改/ip ipsec proposal的default設定檔

再匯入這條rule試試:

/ip ipsec peer
add comment="L2TP/IPSec Server" exchange-mode=main-l2tp generate-policy=\
port-override secret=goldenkey

secret=""是ipsec連線金鑰,請依您的需求做更正

rukawa22

rukawa22
個人積分：0分
文章編號：49468526

0分

1824樓

2014-04-03 14:14

gfx wrote:
先修改/ip ips...(恕刪)

多謝~~

這邊我有試著調整過，不過在mikrotik那邊有發現一行寫的....

Adjust firewall settings
Do not forget to allow UDP 500 (Dst.Port), UDP 1701, UDP 4500 (Nat-Traversal) and Protocol 50 (ESP) in the firewall filter settings. (Input chain, accept).

http://wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP

後來加了 Protocol 50 (ESP)這個後，目前是沒跳出原本的那個ipsec,warning,critical failed to begin ipsec sa negotiation.

但是兩天後能不能連上VPN 又要再觀察看看了~

G兄您說的那塊....
proposal_Encr. 中的3des 我還是留著~~~
因為mikrotik那邊的 enc-algorithm也是使用3des

novice0426

novice0426
個人積分：35分
文章編號：49522427

35分

1825樓

2014-04-07 13:24

想請教一下關於port forwarding over VPN的問題!

目前的網路架構是

RouterOS(A, subnet 192.168.1.0/24, public IP:10.10.10.10 ) --> SSTP Site to Site VPN --> RouterOS (B, subnet 192.168.42.0/24)

目前有一台web server 是放在 192.168.1.100 (RouterOS A的區網中), 在RouterOS(A)設定port forwarding, 從10.10.10.10進來都沒有問題，
但是如果將這一台web server, 搬到 192.168.42.100 (RouterOS B的區網中), 將port forwarding設定改指向 192.168.42.100, 此時從10.10.10.10進來都說找不到伺服器.

目前在調整前，兩個區網都可以互通，調整後，在區網內都可以存取到此台web server (不論是調整前的192.168.1.100 or 調整後的 192.168.42.100都可以)
反而是port forwarding over VPN時就不行了。
想請教一下各位高手，小弟是哪邊漏了設定?
Thanks!

pctine

pctine
個人積分：5079分
文章編號：49523673

5079分

樓主

2014-04-07 14:34

novice0426 wrote:
想請教一下關於port forwarding over VPN的問題!
...(恕刪)

有關於你提的問題, 為何不能 work? 小弟的解釋如下:

從 site-A 進來的封包, 經過了 DNAT, 你將它 forward 至 site-b web server, 但封包要回去時, 它直接從 site-B gateway 出去了, 它並不會再經 VPN tunnel 從 site-A gateway 出去, 所以你如此的設定自然無法 work.

至於如何解呢? 你這台既然是 web server, 那麼可以在 site-a routeros 上面啟用 web-proxy, 利用它來做incoming web proxy, 這樣自然就解決了跨 vpn 的問題. (詳細做法你參考前面的文章,都有提過了)

另外透過 EoIP 的方式, 讓 site-b web server 上安裝雙網卡, 其中一個網卡利用 EoIP 串回到 site-A routeos 主機也是可以.

最後一個方法或許利用 DNAT + SNAT 來對封包加工, 可能也可以 work, 不過這部份小弟要實測過才曉得.

FB: Pctine

gfx

gfx
個人積分：1603分
文章編號：49528283

1603分

1827樓

2014-04-07 19:32

不知道是那裡的設定沒弄好,過去參考darliang大設定VPN Routing使用上是沒問題的.
www.mobile01.com/topicdetail.php?f=110&t=3205444&p=21#42121889

但現在手機用pptp或l2tp/ipsec client連上RB450G ,
除Server(RB450G)外,Server網域內的其它電腦都無法連接..

不知道問題在那,韌體有關係嗎?

好在Synology NAS也自己也提供VPN Server ,使用後網域連接是沒問題的.
不然想要在遠端與NAS傳檔時就顯得很不便

novice0426

novice0426
個人積分：35分
文章編號：49537928

35分

1828樓

2014-04-08 11:06

pctine wrote:
Multi-...(恕刪)

謝謝pctine的回覆
小弟先來研究一下incoming web proxy的作法!!

zhanqinglin

zhanqinglin
個人積分：0分
文章編號：49542994

0分

1829樓

2014-04-08 15:17

請問大大，這個中文化的是對應那個RouterOS的版本？小弟實在是英文太差！

ba2001

ba2001
個人積分：0分
文章編號：49543550

0分

1830樓

2014-04-08 15:48

請問各位大大
小弟我手上有 2樣設備 ASUS N12HP 和 RG450

目前打算將兩台串在一起 , 就是說 2個區網連結成一個大型區網

當前是由 N12配發IP給 RG450其中一孔使用 (IP:192.168.3.X) 當作 DHCP Clinet

RG450的路由會自動設定一組 192.168.3.0當路由

在 RG450 (IP:192.168.11.X) 可以直接連接到 N12的(IP:192.168.3.1)

在N12網路狀態下也能直接連回 RG450(IP:192.168.11.X)的WinBox

但在兩者網路芳鄰卻只能看到自己區網內的用戶

能否將兩者區網做一個連結呢?

也就是說雙方IP不做變更 , 然後不管連結至哪一台分享器都能進入雙方的區網

##########################

目前 N12 與 RG450 的IP配發都是由 3台DHCP主機隨機配發一組IP , 無法固定