RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例 (第3頁)

小笨賢

小笨賢
個人積分：4264分
文章編號：75585851

4264分

樓主

2019-11-27 20:45

h12345678974 wrote:
想請問一下你這樣設雙WAN...(恕刪)

改天買一台MikroTik RB750 ...玩看看再跟您報告... 不然問問g大

gfx

gfx
個人積分：1603分
文章編號：75586187

1603分

22樓

2019-11-27 21:13

小笨賢 wrote:
目前偽裝設定: src...(恕刪)

1. 把rb4011的dns-server啟用。

2.設定dns-server過濾

3.新增dns hosts

4. 192.168.1.1這台路由器，將它的dns-server改成192.168.1.2 (rb4011)
之後192.168.1.x 的任何電腦輸入abc123.dyndns.org ，
就會因rb4011 dns-server關係轉址成192.168.1.2囉。

gfx

gfx
個人積分：1603分
文章編號：75587238

1603分

23樓

2019-11-27 22:45

/ip firewall nat
add chain=dstnat dst-address-type=local protocol=tcp dst-port=80 \
action=dst-nat to-address=192.168.88.210 to-port=80

我覺得再加上dst-address=!192.168.168.88.1 會比較好

"！"是什麼？反向器的意思，也就是除了什麼的以外。

幾乎所有的細節都有反向器可以選，反向器選擇後方框內會標注"！"

依您dstnat映射，因為您標注dst-address-type=local (路由器ip)，卻沒指定in-interface...
所以不管輸入是：
114.123.1.1 (假設這為pppoe-out1地址)
192.168.1.2 (Wan1-IP地址)
192.168.88.1 (Bridge1/Lan地址)
都會映射到192.168.88.210去....

因輸入192.168.88.1也會映射到192.168.88.210去，這樣就無法進router-web了。
所以在目的(dst-address)加註192.168.1.1為例外，這樣就會停止連線192.168.1.1的映射囉。

gfx

gfx
個人積分：1603分
文章編號：75587831

1603分

24樓

2019-11-27 23:40

h12345678974 wrote:
想請問一下你這樣設雙WAN...(恕刪)

您一定是vpn網段和lan網段設成一樣的。
這樣會讓路由表對同個網段（相同的192.168.x.x)，
卻是相異的兩個接口(interface，分別為lan和vpn-client)認定上的困難。

最簡單的方法即將vpn的網段改成與lan相異即可。

另一個則是使用橋接器偽裝，arp從enabled 改成proxy-arp

這功能做什麼的？　即兩個interface發生衝突時，將來源interface偽裝成本地來克服。

小笨賢

小笨賢
個人積分：4264分
文章編號：75594888

4264分

樓主

2019-11-28 14:55

gfx wrote:
您一定是vpn網段和lan...(恕刪)

感謝g大...
RouterOS 功能強大
我VPN 也可以了

我是使用 OpenVPN ip 模式，限定10.8.0.1只能連另外一個台內網 ip 192.168.88.200的遠端桌面，其他都不能連

gfx

gfx
個人積分：1603分
文章編號：75596996

1603分

26樓

2019-11-28 17:28

負載平衡，讓您的網速可以1+1。請依指導依序新增：

１./ip firewall address-list 新增兩筆：

２./ip firewall mangle新增：
1>

2>

3>

4>

5>

6>

7>

8>

9>

10>

#不使用負載平衡的裝置>

新增完後，移動排序位置，擺在步驟2-10之前，2-9之後即可

３./ip route新增：

設置完，到http://speedtest.net/測試網速有無提升

＃ ether1-IP的nat偽裝記得加，否則封包無法往固定ip分享器送。＃

gfx

gfx
個人積分：1603分
文章編號：75597365

1603分

27樓

2019-11-28 17:57

小笨賢 wrote:
限定10.8.0.1只能連另外一個台內網 ip 192.168.88.200的遠端桌面，其他都不能連

vpn用戶端沒網路的原因很清楚，
因您nat偽裝只有做192.168.88.0/24，沒有10.8.0.0/24嘛

h12345678974

h12345678974
個人積分：7分
文章編號：75599374

7分

28樓

2019-11-28 21:12

gfx wrote:
vpn用戶端沒網路的...(恕刪)

不過做NAT不是不指定IP或是INTERFACE就可以適用所有的嗎??

話說我之前架的L2TP掛了只好找教學了(不知為何LOG會一直顯示retransmitted,後來就phase1 negotiation failed due totime up)就失敗了，目前找到的都是舊版的資料設定有點不一樣，目前嘗試重設還是一直發生上述的情況，不知哪邊出問題。

另外之前印象開VPN會招來很多不速之客來試帳密，想請教對此有教學解決嗎??

再次先感謝G大的熱情回應。

gfx

gfx
個人積分：1603分
文章編號：75599493

1603分

29樓

2019-11-28 21:23

h12345678974 wrote:
不過做NAT不是不指...(恕刪)

有分享過防火牆+腳本喔

https://www.mobile01.com/topicdetail.php?f=110&t=3205444&p=682#72357712

h12345678974

h12345678974
個人積分：7分
文章編號：75599740

7分

30樓

2019-11-28 21:46

gfx wrote:
有分享過防火牆+腳本...(恕刪)

像我這樣弄會太麻煩嗎??
是透過別人分享給我的ip list建在raw那的，只是很奇怪我當初把list建在src.address上似乎可以有效阻擋，但我OPENVPN卻也連不進來了，會一直提示認證逾時，所以又在相同的做法建了dst.address那，卻又通了。

本以為擋了src就可以了dst不影響，可是實際上好像會，還是我的觀念上有誤勒??

另外能否煩請G大指點一下，我的L2TP為何會一直出現phase1 negotiation failed due totime up狀況而連不上的錯誤? 感謝