[研究所] MikroTik RouterOS 學習 (持續更新) (第255頁)

Joe680830
個人積分：13分
文章編號：52633772

13分

2541樓

2014-10-14 17:34

THKAW wrote:
我發現上次加的兩條m...(恕刪)

您可以用tool->ping去丟封包,size由1492開始看看會不會timeout,
再慢慢減少數值,直到不會timeout可得到最大值。

ping包含了IP header (20 Bytes)、ICMP header (8 Bytes),
所以得到的數值再減28就是MTU最佳數值,最大值再減40則是MSS最佳值.

我比較傾向修改MTU就好,MSS由設備間去溝通出最佳值,
您在ipv4 firewall看到那兩個change MSS Mangle應是設備間溝通自動產生的結果.

gfx

gfx
個人積分：1603分
文章編號：52634631

1603分

2542樓

2014-10-14 18:37

THKAW wrote:
我發現上次加的兩條m...(恕刪)

我後來想想,乾脆連IPv4 PPPoE-MTU都設1500好了

IPv4會自己生成Change MSS ,我想說把相同內容複製到IPv6 firewall裡試試~

/ipv6 firewall mangle
add action=change-mss chain=forward in-interface=all-ppp new-mss=1360 \
protocol=tcp tcp-flags=syn tcp-mss=1361-65535
add action=change-mss chain=forward new-mss=1420 \
out-interface=all-ppp protocol=tcp tcp-flags=syn tcp-mss=1421-65535

比對修改IPv6 MTU ,實在是難以辨識其差異(網頁反應速率都差不多).

反正都是個方法,選自己喜歡的方式即可~

THKAW

THKAW
個人積分：170分
文章編號：52638378

170分

2543樓

2014-10-14 22:38

Joe680830 wrote:
您可以用tool-&...(恕刪)

gfx wrote:
我後來想想,乾脆連I...(恕刪)

最後決定MTU都限制在1496

因為系統自動設定V4的MSS為1452，所以我也另外在V6設MSS為1452

不過最主要的兇手還是自己的MANGLE設錯主機導致路由封包亂跑

感謝兩位大大指點~~~

RickyHsu77

RickyHsu77
個人積分：1446分
文章編號：52644602

1446分

2544樓

2014-10-15 10:58

方便請教一下PPPOE撥接中華電信100M的話,會不會有先前上限只能跑2xM的速度呢?

gfx

gfx
個人積分：1603分
文章編號：52644916

1603分

2545樓

2014-10-15 11:14

canerhsu wrote:
方便請教一下PPPO...(恕刪)

我自己也是100M用戶,直接告知您的顧慮是多餘的.
除非您申辦光纖300M 或是更高的頻寬,不然現今大部份ROS主機都可滿足您的網路需求.

gfx

gfx
個人積分：1603分
文章編號：52685293

1603分

2546樓

2014-10-17 14:12

感謝Mason.Lyu/AKSN74兩位大大的幫助下,我終於讓iOS/Android吃下ROS-OVPN了.

我是沿用Tomato製做的證書,
所以之前有使用其它版本的OVPN用戶,只要修改套用即可.

1.匯入ca.crt/ca.key

匯入完成Certificate會標示KT

2.啟用OVPN ip-mode

3.建立帳號

因為ip-mode遮罩定為255.255.255.252不能變更,設DHCP-Pool意義不大.
所以直接在帳號指定Local/Remote Address即可.

若
帳號A 指定Local/Remote Address為10.0.0.1/10.0.0.2
帳號B Local/Remote Address只要改指定10.0.1.1/10.0.1.2即可.

4.準備OVPN的ca.crt /client.crt /client.key (與Tomato OVPN用戶端同)
建立手機/平板OVPN-Client設定檔(client.ovpn)與密碼檔(pw.txt)
client.ovpn

client
dev tun
remote 1.23.123.123 1195
proto tcp
auth-user-pass pw.txt
redirect-gateway
mute-replay-warnings

;ca.crt
;client.crt
;client.key

<ca>
-----BEGIN CERTIFICATE-----
MIIDvDCCAyWgAwIBAgIJAL/ai1L7YRA7MA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD
VQQGEwJUVzELMAkGA1UECBMCVFcxGDAWBgNVBAcTD05ldy1UYWlwZWktQ2l0eTEQ
MA4GA1UEChMHT3BlblZQTjERMA8GA1UECxMIZ2Z4ODY2NzQxETAPBgNVBAMTCHJv
dXRlcm9zMQwwCgYDVQQpEwNHRlgxHzAdBgkqhkiG9w0BCQEWEGdmeDg2Njc0QG1z
bi5jb20wHhcNMTMxMDExMDcxMjU2WhcNMjMxMDA5MDcxMjU2WjCBmzELMAkGA1UE
BhMCVFcxCzAJBgNVBAgTAlRXMRgwFgYDVQQHEw9OZXctVGFpcGVpLUNpdHkxEDAO
BgNVBAoTB09wZW5WUE4xETAPBgNVBAsTCGdmeDg2Njc0MREwDwYDVQQDEwhyb3V0
ZXJvczEMMAoGA1UEKRMDR0ZYMR8wHQYJKoZIhvcNAQkBFhBnZng4NjY3NEBtc24u
Y29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPFLBujerLza8fvHR8NPUr
9rSYAQCos3ON7OsmUGJf+q6Ets0riyiw0dy+kgzjN65ffyWqNZ9p6tdTXyrFrYu/
MJmnRim6LQDLlZAvMCxOp/WnZG3tuwNBzud050JzqsZnUe2kYNV4Wtgzegj4Zq1t
8Sp+xilJNElpMbl7gapTkQIDAQABo4IBBDCCAQAwHQYDVR0OBBYEFPAOO08um62x
mfgkJRQMQypq9s2WMIHQBgNVHSMEgcgwgcWAFPAOO08um62xmfgkJRQMQypq9s2W
oYGhpIGeMIGbMQswCQYDVQQGEwJUVzELMAkGA1UECBMCVFcxGDAWBgNVBAcTD05l
dy1UYWlwZWktQ2l0eTEQMA4GA1UEChMHT3BlblZQTjERMA8GA1UECxMIZ2Z4ODY2
NzQxETAPBgNVBAMTCHJvdXRlcm9zMQwwCgYDVQQpEwNHRlgxHzAdBgkqhkiG9w0B
CQEWEGdmeDg2Njc0QG1zbi5jb22CCQC/2otS+2EQOzAMBgNVHRMEBTADAQH/MA0G
CSqGSIb3DQEBBQUAA4GBAJRPx1S2c3KZTFX0QPcM+QMxCjQ9xx5/cfyJCs2OjhBX
V4b7nHjkgp/sVJ98W5wq1GJSGC+zk4gqsonF0KB6+x1Tr8aXPInbhyaIcfyJTqCT
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
MIICdQIBADANBgkqhkiG9w0BAQEFAASCAl8wggJbAgEAAoGBAK9+HIiVIeiYxIMi
hfzeNE1JJwvlUPsalhOqlTTXqL/Kdjf1aZ0aNlkuwlkretZqZImTze1SGeOtKC3J
gTUfL4FLv7qRKHZ5nZQQ2DeDZLhU9Ar6Zq6H4w0Bp02j7iBn4leUAWMtqI9CyHI+
qOtl7AlnQvPJIHGBL/CkxI0cuRDhAgMBAAECgYB/JJYVmj5j3vJYs5Vxe6dW6w3f
/3bpRfy/KNJK44f90/hMWH/48zm26TqjEe5AE/rc9fm228mn+xbl/VygGQT3qpiQ
f3NER9ShPFgQGBLDcoMgINU7mCBEA++K0qXSckpyBpOP5rlZVpkw5K9a2/c0DhkI
4//ayCtibputm5PKwQJBAOc2JsOnbXc+WVLM3LXsTfh0n2QVMUo2TCCBqdmTrxyw
r3krNUUnusg3kjXdRe7mgAvLR+IL+ITp9Nerk0j7UwkCQQDCTrHh8IkaZGZRUg2D
SwgEOQ5YNG0QaE5RKRjeYTVi/6Rmkdfd9hTZh/9zufK1hsYZCAQrOeWnU8ySDaAW
Yo0ZAkAm3EQhqFdOrm0G7KW/8eqc8sUDZkh1h7C92e05Q4gwE0Y64FdAu0+6bRSm
9vzVDWrCELWROZ/YfxYG1bCYmJ05AkADZExGnWRHSalfkgcaW5zwNe7CK2gb+TYk
xIrilt/Pspa0E6epADqs8WrMIlrSQGAE39byyjfwC85uXj6FJYNBAkAPVJij3IAD
7Zdj8+bpAk1O
-----END PRIVATE KEY-----
</key>

pw.txt

bfs ;帳號
1234 ;密碼

5.安裝OpenVPN Connect,並將client.ovpn/pw.txt上傳至手機/平板並進行匯入

6.先關閉OpenVPN Connect的Force AES-CBC ciphersuites
若沒意外,iOS/Android接下來即順利與ROS-OVPN-Server連線.

小欷o

小欷o
個人積分：1分
文章編號：52693129

1分

2547樓

2014-10-17 22:10

這串大樓真是受益良多，今天入手RB-750GL，還沒收到
懷著興奮又怕受到傷害的心情下定，因為網路上都說他很複雜
我用比較多是 PPTP或是OPENVPN (因為RT-N66U最近怪怪的，會回朔，設定跑掉導致無法正常連網)
請問用PPTP或是OPENVPN 可以做到類似區域網路嗎 ? 就是大家連同一個VPN 然後玩區域網路遊戲
還有針對每個PPTP做限制流量的動作，我有看到一篇內文是PCQ動態分配網路速度
可以套用在PPTP上嗎 ? 謝謝各位前輩指導 ~~

AKSN74

AKSN74
個人積分：1660分
文章編號：52693437

1660分

2548樓

2014-10-17 22:29

小欷o wrote:
這串大樓真是受益良多...(恕刪)

1. PPTP跟OpenVPN都可以做到甚至可以做到同網段

2. 這點應該是可以

gfx

gfx
個人積分：1603分
文章編號：52693625

1603分

2549樓

2014-10-17 22:39

小欷o wrote:
請問用PPTP或是OPENVPN 可以做到類似區域網路嗎 ? 就是大家連同一個VPN 然後玩區域網路遊戲

可以

還有針對每個PPTP做限制流量的動作，我有看到一篇內文是PCQ動態分配網路速度
可以套用在PPTP上嗎 ? 謝謝各位前輩指導 ~~

可以

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：52693822

664分

2550樓

2014-10-17 22:50

gfx wrote:
2.啟用OVPN ip-mode

我補充一下，OVPN Server的預設值就是IP mode。而IP mode就等於TUN mode；Ethernet mode就等於TAP mode，其中TUN mode用的是Layer 3，TAP mode用的是Layer 2。所以在Client端設定檔裡的dev tun就是說明要採用TUN mode，而Server端也要選成TUN mode，即是IP mode。

gfx wrote:
client
dev tun

如果Client端是電腦，那你選IP mode或是Ethernet mode都可以連線，唯手持設備因不支援Layer 2的TAP mode，所以一定要設成IP mode。

另外就是MikroTik RouterOS VPN裡面有特別提到，iOS或是Android的Force AES-CBC ciphersuites選項要關閉，如此才能順利建立加密通道，也才能正常連線