負載平衡的部份是參考
電腦茶包Blog 的...網址在這裡
電腦茶包是和Mikrotik官網相同的.
它有設定chain=input /output,即RB450G路由器本身也做負載平衡,
不只有chain=prerouting 只有電腦聯外的負載平衡.
這樣做比較全面,但缺點是RB450G自身做負載平衡是否有必要?
像IPSec Client需要設定固定IP ,用負載平衡路由器的output就不固定..這種做法是否妥當?
另外負載平衡是否需固定ip ,答案是否定的.
我非對ISP網路做負載平衡,而是對兩條連日本網路的PPTP Client做負載平衡.
每次PPTP斷線再重新連接 ,Local/Remote都會不同.
但不引響對負載均衡的使用,因為Mangle /Route的內容是不變的.
成功的做負載均衡後,您可以試著打開http://myip.com.tw
每次重新整理網頁,有1/2的機率會更換成另一個Public-IP ;
假如一直沒更換ip ,您就得往Mangle找是否那設定錯誤.
公司端:59.126.183.x
家裡端:59.126.119.x
原本 Src Address 是設定為 192.168.1.0/24
Dst-Address 設定成 192.168.2.0/24
這次改依您給的圖片來設定...
59.126.183.x 是公司的 Public - 1
59.126.119.x 是家裡的 Public
這個應該是 L2TP/IPSec 連線成功的畫面
如果連不成功的話
Auth. Algorithm 及 Encr.Algorithm 會出現 none
而且只會有一行甚至沒有
負載平衡的部份
原本兩個撥號的內容都是沒有勾選 Add Default Route 的
這次依您的建議在 PPPoE-out1 勾上
Mangle 總表
被 Disabled 的是 電腦茶包Blog 上的
8 9 12 13 是 RouterOS 自動產生
10 11 是有同事從遠端透過 pptp 連入
依您的建議設定上去
Router 總表
NAT 總表
Public1 和 Public2 基本的 masquerad
目前照您的設定方式全部完成,
L2TP/IPSec 連線成功,
但一樣 Ping 不到家裡的主機。
您的負載平衡設定方法比較簡單,但一樣能達到相同的效果!學習了...
因為一直 Ping 不到家裡的主機,
小弟猜想會不會是因為非固定制固定 IP 的關係?
昨晚拜請咕狗大神,爬文爬到快四點...所有的範例清一色都是用固定 IP 下去做!
不知道他們所謂的 固定IP 跟 中華電信用 PPPOE + 帳號後面加 ip 所取得的這種固定 ip 有沒有一樣...
還請大大幫小弟除錯、釋疑!萬分感謝啦...
dthuang8 wrote:
已照您提供的圖片全部...(恕刪)
您目前公司往住家的路由是否已建立? 只有ping單方面的問題嗎?
假如只有ping單方面的問題,
您家中RB450G的firewall filter先全部Disabled ,再從公司ping回家中試試.
假如問題解決,看家中firewall filter是否有這一筆
action=drop chain=input in-interface=pppoe-out1 protocol=icmp
或者是
action=drop chain=input src-address=!192.168.2.0/24 protocol=icmp
兩筆Rule內容是相同的,有的話問題即在此...icmp被防火牆給阻擋了!
------------------------------------
另外您的All-Lan清單只有公司和家中的Pool ,怎麼沒PPTP Pool?
那些全都要加入,含L2TP Pool也是...全都得加進不能有遺漏.
還有家中連往公司,家中分享器NAT您會將L2TP做基本的 masquerad ;
那公司連往家中,公司分享器的NAT也請不要忘了加.
請問這個要怎麼看?
> 只有ping單方面的問題嗎?
家裡的 RB450G 的 Local IP 是 192.168.2.1
Ping 不到...
家裡的主機的 Local IP 是 192.168.2.254
除了 Ping 不到外,遠瑞桌面也連不進去。 (遠端桌面的功能有開啟...)
所以應該不止是 Ping 的問題而已。
> 您家中RB450G的firewall filter先全部Disabled ,再從公司ping回家中試試.
有試了,情況一樣...
而且從家裡的 RB450G 的 WinBox 中的 Terminal 中
有試 Ping 192.168.1.1 一樣 Ping 不到。
昨晚公司的 RB450G 未重新開機前,
家裡能 Ping 回公司所有的地址,
重新開機後,兩邊無法互通了。
> 假如問題解決,看家中firewall filter是否有這一筆
> action=drop chain=input in-interface=pppoe-out1 protocol=icmp
> 或者是
> action=drop chain=input src-address=!192.168.2.0/24 protocol=icmp
> 兩筆Rule內容是相同的,有的話問題即在此...icmp被防火牆給阻擋了!
有試了,
兩邊無法互通,而且沒看到這幾筆...
------------------------------------
> 另外您的All-Lan清單只有公司和家中的Pool ,怎麼沒PPTP Pool?
> 那些全都要加入,含L2TP Pool也是...全都得加進不能有遺漏.
PPTP POOL 跟 192.168.1.0/24 同一網段
> 還有家中連往公司,家中分享器NAT您會將L2TP做基本的 masquerad ;
家中分享器NAT您會將L2TP做基本的 masquerad ; 請問這個要怎麼設定?
目前我只加了一個 chain=srcnat action=masquerade 其它欄位空白
這樣可以嗎?
如下圖
> 那公司連往家中,公司分享器的NAT也請不要忘了加.
這項有在您昨晚提供的圖片裡嗎?
如果沒有的話,還請您提供一下 Scrip ...
另外家裡的也有把所有可能的網段全加了,
家裡的
公司的
L2PT/IPSec 已經通了。
公司的
家裡的
目前仍舊無法互通,也互相 Ping 不到。
公司 Ping 家裡
家裡 Ping 公司
而且還會出現一個訊息
ipsec,warning,critical failed to pre-process ph2 packet.
另外依您的經驗,
請問兩端都是 中華電信 的 PPPOE 及 帳號+ip.hinet.net 的方式取得 固定ip 的方式,
做 L2TP/IPSec 行的通嗎?
還是說一定要用固定制的?
還請解惑,感謝!
dthuang8 wrote:
> 您目前公司往住家的路由是否已建立?
請問這個要怎麼看?
/ip route
這是我對朋友家的PPTP-Server的路由設定,您看您的設定是否如此.
Distance不重要,那是優先順序...設成1即可
公司的L2TP Pool建議更換特別的,如172.192.0.0/30 (172.192.0.0-172.192.0.3)
VPN的Local與Remote IP才不會與2台RB450G Default-Lan有重疊,造成路由混亂.
家中分享器NAT您會將L2TP做基本的 masquerad ; 請問這個要怎麼設定?錯了,out-interface您沒標示連出.
目前我只加了一個 chain=srcnat action=masquerade 其它欄位空白
這樣可以嗎?
這是我對朋友家的PPTP-Server的NAT設定,您參考修正您的L2TP.
而公司您也得補上相同的內容,不過對象是L2TP-Client1
家裡的也有把所有可能的網段全加了因為您家中RB450G沒設負載平衡,所以IP清單不是那麼重要,但建一下比較好.
很多場合都需用到,包括防火牆.
Address-list清單這些網域應該都不是您的,請刪除吧.
0.0.0.0/8
127.0.0.0/8
224.0.0.0/3
169.254.0.0/16
公司的192.138.1.0/24您應該是打錯,
不過因您要做site to site ,建議All-Lan和家中的相同即可.
IP清單建議將not_in_internet全改成All-Lan
負載平衡不是有個dst-address-list=!All-Lan的設定嗎?
目的是將名字All-Lan的網域給避開,若一些網段取名為not_in_internet
,這些網段就避不開了.
所以要嘛就是將192.168.1.0/24 ,192.168.2.0/24 都改名為not_in_internet
負載平衡的rule也修改為dst-address-list=!not_in_internet
不然就是不修正Mangle ,將名稱not_in_internet 的網域再取名回All-Lan
目前仍舊無法互通,也互相 Ping 不到。目前不確定問題,您再修飾補足路由.
公司 Ping 家裡
家裡 Ping 公司IPSec封包傳輸有問題...
而且還會出現一個訊息
ipsec,warning,critical failed to pre-process ph2 packet.
我會建議將兩台分享器的IPSec都先關閉,單純利用L2TP做site to site.
IPSec只是用在封包加密,等路由全部設定好再打開加密即可.
......
但發現了一些問題,不知道要如何標示,請各位大大指導…
小弟的mangle一項設置是:
add action=mark-connection chain=prerouting comment=\
"\B0\CF\BA\F4\B9q\B8\A3 \A4U\B8\FC" new-connection-mark="PC DL" \
src-address=192.168.1.10
add action=mark-packet chain=prerouting connection-mark="PC DL" \
new-packet-mark="PC DL" passthrough=no
add action=mark-connection chain=prerouting comment=\
"\B0\CF\BA\F4\B9q\B8\A3 \A4W\B6\C7" dst-address=192.168.1.10 \
new-connection-mark="PC UL"
add action=mark-packet chain=prerouting connection-mark="PC UL" \
new-packet-mark="PC UL" passthrough=no
(小弟已經開始亂標了…XD 因為怎麼試數據都不對,上面是目前的測試設定)
用來標示使用192.168.1.10電腦的上載和下載
但遇到了一個問題,例如連上網站是 mega.co.nz
這個網站可以上傳檔案也可以下載檔案,但在mangle那已標為下載網頁了
所以當小弟上傳一個檔案時,在Queue Tree那裡的限制變成限制下載速度,
小弟因為用cable,使用VRRP去抓取多個浮動IP,所以WAN 端也不知道設定哪個端口
去out-interface和in-interface…
好亂…
forward+Src.address及forward+Dst.address小弟也試過了,一樣上傳變下載,
是否還有其他設定或方法可以更正確的方式去標示上傳及下載的方法?
標了二個星期,已經頭昏了,懇請高手大大們給小弟指點,感恩!
necosjou wrote:
各位大大好,最近小弟...(恕刪)
您標記Packet的方式有錯:
chain=prerouting是進入電腦,所以適合用在標記下載.
chain=postrouting則是出電腦,所以適合用在標記上載.
當標記下載時:目的地為電腦(192.168.1.10) ,所以dst-address=192.168.1.10
當標記上載時:是從電腦上載(192.168.1.10) ,所以src-address=192.168.1.10
所以修正後應該是:
add action=mark-connection chain=prerouting comment=\
"\B0\CF\BA\F4\B9q\B8\A3 \A4U\B8\FC" new-connection-mark="PC DL" \
dst-address=192.168.1.10
add action=mark-packet chain=prerouting connection-mark="PC DL" \
new-packet-mark="PC DL" passthrough=no
add action=mark-connection chain=postrouting comment=\
"\B0\CF\BA\F4\B9q\B8\A3 \A4W\B6\C7" src-address=192.168.1.10 \
new-connection-mark="PC UL"
add action=mark-packet chain=postrouting connection-mark="PC UL" \
new-packet-mark="PC UL" passthrough=no
--------------------------------------
chain=forward 也可用來標記上/下載 ,沒有進/出之分,只有方向之分.
當src-address=192.168.1.10 時,即標記上載.
當drc-address=192.168.1.10 時,即標記下載.
forward /prerouting /postrouting的差別在於:
forward: NAT-Server->電腦 或電腦->NAT-Server
prerouting: 網際網路->電腦 / postrouting: 電腦->網際網路
--------------------------------------
若只想標記分享器(local)的封包,非電腦族群(192.168.1.0/24)
chain=input是進分享器,所以用在標記下載.
chain=output是出分享器,所以用在標記上載.
因input/output只針對分享器,
當chain=input ,分享器即dst-address / chain=output ,分享器即src-address
內文搜尋
從 APP 打開
X