[研究所] MikroTik RouterOS 學習 (持續更新) (第280頁)

長弓
個人積分：0分
文章編號：53284606

0分

2791樓

2014-11-23 16:07

感謝 pctine 兄的回應。

我後來在網頁上找到的 SXT Lite5 firmware 版本是 3.19，升級後，boot 的問題就解決了。

本來以為使用system routerboard upgrade ，升級的是最新的版本，所以才想要降版，但是又找不到舊版的 bootloader 的載點。幸好換到3.19版，就正常了。

elodie319

elodie319
個人積分：59分
文章編號：53290428

59分

2792樓

2014-11-24 0:59

那請問，該如何將 routeros 已經使用vpn client (pptp)撥到其他的 vpn server . 連接到的 ip 對映給後面的一台機器?

routeros vpn client -> lan ip 192.168.88.xx

gfx

gfx
個人積分：1603分
文章編號：53290773

1603分

2793樓

2014-11-24 1:52

elodie319 wrote:
那請問，該如何將 ...(恕刪)

您說的是"功夫網路".
假設pptp-server地址是123.123.123.123 帳號:vpn 密碼:vpn
指定的裝置ip是:192.168.88.100

對應如下:

/interface pptp-client
add add-default-route=no allow=mschap2 connect-to=123.123.123.123 \
dial-on-demand=no disabled=no keepalive-timeout=10 max-mru=1400 max-mtu=1400 \
mrru=disabled name=pptp-client1 password=vpn profile=default-encryption user=vpn

/ip firewall mangle
add action=mark-routing chain=prerouting src-address=192.168.88.100 \
dst-address=!192.168.88.0/24 new-routing-mark=to_pptp-client1 passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pptp-client1

/ip route
add distance=1 gateway=pptp-client1 routing-mark=to_pptp-client1

把範例中幾個重要的關鍵字先做修改,再匯入您的ROS即可

elodie319

elodie319
個人積分：59分
文章編號：53290903

59分

2794樓

2014-11-24 2:27

/ip route
add distance=1 gateway=pptp-client1 routing-mark=to_pptp-client1

這部份不行，要指定 dst. Address:

我原本在想，如果只是一個 ip 就使用 ip /route 指定給vpn 介面
但後來還是不行

pctine

pctine
個人積分：5084分
文章編號：53291406

5084分

樓主

2014-11-24 7:24

elodie319 wrote:
那請問，該如何將 ...(恕刪)

(site A)VPN client <-----> site B (VPN Server)

1.從 site A VPN client 出去的封包做 NAT masquerade.

2.於 site A VPN client 端 NAT 做 dstnat 對應到 site A LAN 內部 server

3.於 site A 設定 ip route, 指定至 site B 網段經 VPN tunnel.

4.site B LAN interface 要啟用 proxy arp

這樣做就夠了.

FB: Pctine

gfx

gfx
個人積分：1603分
文章編號：53292634

1603分

2796樓

2014-11-24 9:38

elodie319 wrote:
/ip routea...(恕刪)

小弟給您的資料是正確的,這是從個人主機匯出的.

/ip route命令中沒有dst-address的原因是因為地址為0.0.0.0/0 ,
匯出時系統會省缺,不是小弟刻意忽略dst-address.

elodie319

elodie319
個人積分：59分
文章編號：53312968

59分

2797樓

2014-11-25 12:36

gfx 前輩可以work 了

這樣就可以少掉設定 vpn 的部份

vpn 的部份 max mtu 設定1460 運作ok .
我的是固定6ip 供參

gfx

gfx
個人積分：1603分
文章編號：53313489

1603分

2798樓

2014-11-25 13:08

elodie319 wrote:
gfx 前輩可以...(恕刪)

您可下載mturoute.exe (dos執行檔)做測試.
https://dl.dropboxusercontent.com/u/34743921/mturoute.exe

mturoute用法與ping相同,如:
mturoute 192.168.1.12
mturoute tw.yahoo.com

顯示的Path MTU ,即最佳連線MTU值.

elodie319

elodie319
個人積分：59分
文章編號：53323510

59分

2799樓

2014-11-26 0:24

我的lan and wan 都是1500 .
不過，他似乎沒辦法判斷 lan 是9k

gfx

gfx
個人積分：1603分
文章編號：53324001

1603分

2800樓

2014-11-26 1:22

elodie319 wrote:
我的lan and ...(恕刪)

您的是固6,所以WAN MTU當然是1500;PPPoE用戶則會是1492或者其它.
LAN (Ethernet)的MTU則一定是1500,這是常數...除非您刻意變更它.

稍早您設定功夫網的電腦,您可測mturoute tw.yahoo.com
最佳MTU一定不會是1500或者1460 ,而是PPTP的1408或者1400.
您可以試試.

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
在做mturoute測試時,最大ICMP payload即最佳MSS(最大分段大小)
而MSS與MTU(最大傳輸單元)則是相差20個IP頭與20個TCP頭的關係.
所以最佳MSS+40 ,即最佳MTU

http://www.mobile01.com/topicdetail.php?f=110&t=3205444&p=278#53208552