Hsinchu@Taiwan wrote:
除了使用 ip fi...(恕刪)
謝謝,長知識了。
另外經反覆觀察發現,原來顯示
2049 items out of xxxx
那其實就是總連線數。
或許您會這麼做,將對方ddns輸入進src-address裡...
不過隨之而來則會被系統拒絕,因為address只能指定ip,不接受ddns這樣的地址設定.
所以我們得迂迴,先將ddns轉換成RouterOS可接受的方式.
---------------------------------------
我想到的方法是先將ddns對應的ip存到address-list清單,
然後將src-address改用src-address-list建立規則即可.
但要將ddns轉換成ip ,得使用scripit才行.
在/system scheduler 新增規則:
On Event:
/ip firewall address-list add list=a1234 address=[:resolve a1234.no-ip.com] timeout=6h
Interval是循環更新的時間,我定為1分鐘.
a1234 則是address-list的名稱.
a1234.no-ip.com 則是遠端的ddns 名稱.
timeout 則是時效,我定為6h...即6小時後ip自動清除.
設定完Scripit就即刻運作,會將a1234.no-ip.com對應的ip存到清單a1234上.
所以firewall filter只要將開放的對象改成src-address-list即可.
# No-IP automatic Dynamic DNS update
#--------------- Change Values in this section to match your setup ------------------
# No-IP User account info
:local noipuser "your_no-ip_user"
:local noippass "your_no-ip_pass"
# Set the hostname or label of network to be updated.
# Hostnames with spaces are unsupported. Replace the value in the quotations below with your host names.
# To specify multiple hosts, separate them with commas.
:local noiphost "hostname1.no-ip.net"
:local noiphost "hostname2.no-ip.net"
:local noiphost "hostname3.no-ip.net"
# Change to the name of interface that gets the dynamic IP address
:local inetinterface "your_external_interface"
...恕刪
1. 到這裡新增個 Group:https://www.noip.com/members/dns/dyn-groups.php
把所有你在這裡申請的Host都加進來。
2. 把 :local noiphost "xxx" (xxx 改成你的Group name) 收工!
dophone wrote:
請問一下,如果我的DDNS有數個Host(以NO-IP為例),是否將原來的敘述增加紅字部份即可?
# No-IP automatic Dynamic DNS update
#--------------- Change Values in this section to match your setup ------------------
# No-IP User account info
:local noipuser "your_no-ip_user"
:local noippass "your_no-ip_pass"
# Set the hostname or label of network to be updated.
# Hostnames with spaces are unsupported. Replace the value in the quotations below with your host names.
# To specify multiple hosts, separate them with commas.
:local noiphost "hostname1.no-ip.net"
:local noiphost "hostname2.no-ip.net"
:local noiphost "hostname3.no-ip.net"
# Change to the name of interface that gets the dynamic IP address
:local inetinterface "your_external_interface"...(恕刪)
以一個Ethernet為例:
Ethernet IP MTU = 1518 – 18 ( 6 SRCMAC+ 6 DSTMAC+ 2 TYPE+ 4 CRC) = 1500 B
所以
Ethernet IP TCP MSS = 1500 – 40 ( 20 IP_HEADER + 20 TCP_HEADER) = 1460 B
而PPPoE:
PPPoE MTU/MRU = 1500 – 8 ( 6 PPPoE_SESSION + 2 PPP_HEADER ) = 1492 B
所以
TCP over PPPoE MSS = 1492 ( PPPoE MTU/MRU ) – 40 ( 20 IP_HEADER + 20 TCP_HEADER) = 1452
當Server傳送流量到PC時,過程可能會經過許多網路設備,
當中某一台的Router若MTU若小於Server ,封包會切成適合的封包.
但封包切割會耗損網路設備效能的及各種網路安全問題;
若Router的MTU大於Server ,Server又未重新封裝進入的封包,
則Server則可能直接將Route封包丟棄中斷通訊,即所謂MTU黑洞.
所以當PC封包透過Ethernet(MTU=1500)經Router從PPPoE(MTU=1492)發送,
封包時得在Route端重新封裝為1492,不然會產生黑洞中斷通訊,讓封包無法經PPPoE送達Server.
所以要達成最佳的網路,即儘可能送出最大size封包,也就是找出最大送出MTU值.
在PPPoE Client ,您可以設定PPPoE MTU/MRU最大值1492
假使PPPoE Client的MTU/MRU定值為Ethernet的1500 ,
ROS則會透過Change MSS,將送出的MSS定為1452
MSS與MTU是相差20個IP頭與20個TCP頭的關係,所以等於以MTU=1492(1452+20+20)重新封裝.
這樣Ethernet送出封包就不會因過大被PPPoE被丟棄
-----------------------------------------
因WindowsXP 內建的PPPoE用戶端使用設定成1480 的MTU ,
所以TP-LINK會建議客戶以1480為Router的最佳MTU.
若在PPPoE Client以1480為最佳的MTU值,
則ROS系統生的Change MSS則會修正成1440 (1440+20+20=1480)
若您有啟用ROS的VPN-Server,則All-PPP一律將MSS定為1360 (1360+20+20=1400=MTU)
MTU=1400 有何特別意義? 因為當MTU為1400時恰為PPTP的最佳MTU值,懂了咩?
其它VPN over PPPoE最佳MTU各為:
PPTP=1400 / L2TP=1452 / SSTP=1400 / OVPN=1500
若非PPPoE用戶,以上最佳MTU除OVPN外得再加8(6 PPPoE_SESSION + 2 PPP_HEADER)
不過值得觀察的是因啟用VPN-Server ,All-PPP MSS被系統修正為1360 .
代表您在PPPoE Client定義MTU/MRU ,
不管是1492 /1480 或其它的值最後都只有MTU=1400的效果.
雖然一般瀏覽網路不會因MTU黑洞丟失封包(重新封裝Ethernet MTU < PPPoE MTU),
但1400也決非PPPoE的最佳傳輸單元.
所以您可改用Path MTU Discovery ,
讓ROS 儘可能送出Size最大的封包,搜尋路徑上最佳的MTU值.
在/ip firewall mangle新增:
更重要的是將新增的設定擺在All-PPP Change MSS前 ,Path MTU Discovery才能發生作用.
-----------------------------------------
申請光世代Dual Stack的用戶,過去在瀏覽Yahoo網站時會常發生圖文打不開的情形.
很明顯的即MTU黑洞 ,Ethernet MTU > PPPoE MTU
所以一般的作法即透過OS命令 ,
將電腦的Ethernet MTU也更正成1492以遷就PPPoE最大傳輸單位.
或者透過ROS直接宣告Ethernet MTU為1492
若不想變更Ethernet的方法改使Change MSS也行,
做法與IPv4相同,out-interface=pppoe-out1 MSS定為1452即可!
想用Path MTU Discovery方式當然也可以 ,IPv4怎麼設置,IPv6跟著做就好!!
內文搜尋
從 APP 打開
X