jeremy9678 wrote:其實/ip firewall mangle
2.我還以為你劃線是整個砍掉,不過src address拿掉不就代表所有的位置都做
nat嗎?是不是外網的ip src address也是被nat呢?
另外如果這樣我第二條vpn用的192.168.2.0也可以拿掉不是嗎??
因第一條都包含所有src address及dst address囉!
src-address設192.168.1.0/24 只算做半套,你知道為何嗎?
假如VPN-Client 透過您的Router主機翻牆,
那您覺得VPN-Clinets只要用一路PPPoE翻牆,還是一樣開PCC或NTH呢?
如果像小弟堅持VPN-Client也得做負載平衡,但VPN-Clients的ip是192.168.2.0/24
這樣src-address只用192.168.1.0/24就不對了,應該改設src-address-list
所以更正確的設置應該變更成:
https://dl.dropboxusercontent.com/u/34743921/pcc%26nth.txt
/ip firewall nat
srcnat我要請您拿掉src-address=192.168.1.0/24 ,
是因為您 目的(dst)已經用out-interface代表出口的方向 ,而來源用192.168.1.0/24反而局限到.
所以不如關閉src-address ,
代表所有(含192.168.1.0/24 與192.168.2.0 還有其它)往公用網路連接皆可以使用此PPPoE通道.
當然您也可改用src-address-list=All-Lan ,但小弟覺得沒有必要.
那第二條為何是把192.168.1.0網段改放src address list位置不太清楚用意??說來丟臉,您是正確的,正確該放到src-address去.
小弟打錯字了
(後來有修正 ,搭配上面說明真的改src-address-list做使用)-------------------------------------------
解釋您NTH 來源(src)與 目的(dst)弄混的原因.
您知到dst-address-type=local 代表什嗎?
/ip address清單裡的address全都算local(本地)
所以兩個PPPoE-Address 皆為"local-list"的一部份.
所以您的舊設定即任何來源皆對 目的(您的PPPoE入口)做NTH...這是甚
-------------------------------------------
PCC您有個人的疑問 ,
per-connection-classifier該是用src-address-and-port還是both-address ?
我的看法是: 都可以!!
src-address-and-port是連出的用戶做PCC ;both-address則是全部連線都做PCC.
因小弟已規劃用戶清單(src-address-list) ,所以選用src-address-and-port
-------------------------------------------
補充NO-IP DDNS更新腳本:
網路常見NO-IP DDNS腳本只能對應Public-Address ,無法針對每個PPPoE帳號去做HOSTS更新.
這是小弟修正的NO-IP腳本,請服用!!
https://dl.dropboxusercontent.com/u/34743921/2noip.txt
發現不知是瀏覽器cache問題嗎?重新整理網頁PCC就亂數啊,豈是您能決定機率的
十次有八到九次同一ip只有一兩次另一個ip
.gfx大你對routeros 的snmp熟嗎?不熟,這得換您指導小弟
gfx wrote:
其實/ip firewall...(恕刪)
謝謝gfx大這麼詳細的解說清楚多了,後來我自己手動把src address改成
src address list囉,主要src address list名稱我設定跟gfx大不同
重新匯也不慢但想加深自己的印象自己手動改一改囉~
目前標記改成如下跟gfx大只有差src address list名稱不同,也把vpn 網段
也加入address list列表內共同做pcc囉!
# mar/09/2015 23:11:30 by RouterOS 6.26
# software id = RAK2-24W8
#
/ip firewall mangle
add chain=prerouting comment="\\B0\\CF\\B0\\EC\\B3s\\BDu" dst-address-list=lan-user \
src-address-list=lan-user
add chain=prerouting dst-address-type=local src-address-list=lan-user
add action=mark-connection chain=prerouting in-interface=pppoe-brent \
new-connection-mark=pppoe-brant-comm
add action=mark-connection chain=prerouting in-interface=pppoe-jeremy \
new-connection-mark=pppoe-jeremy-comm
add action=mark-routing chain=output comment="PPPoE\\A5X\\A4f" connection-mark=\
pppoe-brant-comm new-routing-mark=make-pppoe-brant passthrough=no
add action=mark-routing chain=output connection-mark=pppoe-jeremy-comm \
new-routing-mark=make-pppoe-jeremy passthrough=no
add action=mark-routing chain=prerouting connection-mark=pppoe-brant-comm \
new-routing-mark=make-pppoe-brant passthrough=no src-address=\
192.168.1.0/24
add action=mark-routing chain=prerouting connection-mark=pppoe-jeremy-comm \
new-routing-mark=make-pppoe-jeremy passthrough=no src-address=\
192.168.1.0/24
add action=mark-routing chain=prerouting comment=PCC new-routing-mark=\
make-pppoe-brant passthrough=no per-connection-classifier=\
src-address-and-port:2/0 src-address-list=lan-user
add action=mark-routing chain=prerouting new-routing-mark=make-pppoe-jeremy \
passthrough=no per-connection-classifier=src-address-and-port:2/1 \
src-address-list=lan-user
add action=mark-routing chain=prerouting comment=NTH disabled=yes \
new-routing-mark=make-pppoe-brant nth=2,1 passthrough=no \
src-address-list=lan-user
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\
make-pppoe-jeremy nth=2,2 passthrough=no src-address-list=lan-user
nat部份我也稍微改一下,變成如下,我會加入src address list主要養成習慣,家用其實沒差
也如gfx所說沒必要,只是養成習慣以後公司行號設定才能多多少少加一點點點安全(網路文章大多這麼提)
不養成習慣未來容易出錯
/ip firewall nat
add action=masquerade chain=srcnat out-interface=all-ppp src-address-list=\
lan-user
解釋您NTH 來源(src)與 目的(dst)弄混的原因.
您知到dst-address-type=local 代表什嗎?
/ip address清單裡的address全都算local(本地)
所以兩個PPPoE-Address 皆為"local-list"的一部份.
所以您的舊設定即任何來源皆對 目的(您的PPPoE入口)做NTH...這是甚
有關你說明dst-address-type=local部份最後一段"所以您的舊設定即任何來源皆對 目的(您的PPPoE入口)做NTH...這是甚"
我聽的不是很懂可否請gfx說明詳細一點,3Q!不知道是我之前句了下面句變"反之":的意思
才變成gfx大說的這個意思嗎??
謝謝gfx大有關snmp部份我在想想辦法,我接觸routeros不到三個月那敢指導你
會的話也互相學習不敢說指導,大家互相學習!!
jeremy9678 wrote:
指的是我舊設定是用了dst address type=local又句下面"非"的句嗎?
一直不解你說明這句話意思!!!
我翻到前頁,原來您dst-address-type=local 勾上了Invert ,小弟以為未勾.
勾了才是正確的,本來dst-address-type=local即不該是做NTH的對象.
您仔細看:
/ip firewall mangle
add chain=prerouting dst-address-type=local src-address-list=lan-user
這不是做一模一樣的事嗎
您是加在NTH內做排除 ,而小弟則在Policy Routing運作前就先排除掉了.
內文搜尋
從 APP 打開
X