搜尋
搜尋
  • 860

[研究所] MikroTik RouterOS 學習 (持續更新)

前往頁尾
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:55516664
1603分
3421樓
2015-04-25 0:34
小弟最近研究EOIP/GRE/IPIP Site-to-Site
替朋友設定時依Mikrotik官網說明輕輕鬆鬆就達陣;
但自己與網路另一端連結卻似乎撞到看不見的牆,怎樣都弄不好...

這問題困擾小弟兩個月,終於在前些日子突破盲點了.
問題卡在WAN的路由標記上.

小弟有設兩個PPPoE撥號,分別是1.1.1.1(浮動) ,與2.2.2.2(固定)
1.1.1.1是預設路由,電腦皆是由這個出口與網際網路連接.
2.2.2.2是預備路由,是新增用來與遠端建立Site-to-Site.

這是EOIP/GRE/IPIP的設定畫面:

Local-Address是本地地址 ,Remote-Address是遠端地址.

設定好卻無法聯結,小弟深感挫折.
於是到/ip firewall connection觀察conn連線狀況,

竟發現與3.3.3.3(遠端地址)嘗試連結的ip ,竟非設定的2.2.2.2 ,
而是1.1.1.1(預設路由) !?

當下小弟似乎被敲醒了,第一思考即路由的問題.
所以小弟添了幾筆路由器標記策略:
/ip firewall mangle
add action=mark-connection chain=prerouting \
dst-address=2.2.2.2 new-connection-mark=pppoe2_conn
add action=mark-routing chain=output connection-mark=pppoe2_conn \
new-routing-mark=to_pppoe2 passthrough=no
add action=mark-routing chain=output new-routing-mark=to_pppoe2 \
passthrough=no src-address=2.2.2.2

匯入當下, EOIP/GRE/IPIP Site-to-Site就被我連通啦!

這也就是為何替朋友設定時很容易,自己卻弄不好的原因.

因為朋友是單WAN ,做Site-to-Site直接用預設路由即可;
但在路由器多WAN的情況,則必需考量路由器進出策略,就這樣
jeremy9678
jeremy9678
jeremy9678
67分
3422樓
2015-04-25 1:10
gfx wrote:
小弟最近研究EOIP...(恕刪)


gfx大你的這個問題就跟我公司那台公司和4g網卡一樣都出在預設路由上面
我目前預設4g網卡的部份所以公司內網前一兩星期一直有問題

但這次看到你有用make-comm部份囉,還有chin你都選output為何不是選路由前(prerouteing)呢?
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:55517255
1603分
3423樓
2015-04-25 2:02
jeremy9678 wrote:
gfx大你的這個問...(恕刪)
您不能把電腦路由器,PPPoE的入口出口皆混為一談.

add action=mark-connection chain=prerouting \
dst-address=2.2.2.2 new-connection-mark=pppoe2_conn
是標記目的地址為2.2.2.2(PPPoE2)進來的封包.

add action=mark-routing chain=output connection-mark=pppoe2_conn \
new-routing-mark=to_pppoe2 passthrough=no
從PPPoE2到"路由器"標記的封包 ,要從原PPPoE2的入口返回.
若是從PPPoE2到"電腦"標記的封包,要從原PPPoE2的入口返回 則是這麼做:
add action=mark-routing chain=prerouting connection-mark=pppoe2_conn \
new-routing-mark=to_pppoe2 passthrough=no src-address=192.168.88.0/24
這很重要,但不在Site-to-Site範疇所以被省缺.
但在設定Mangle時 ,這是必要的.不添加的話對於PPPoE2,它的PortForward映射會沒作用

add action=mark-routing chain=output new-routing-mark=to_pppoe2 \
passthrough=no src-address=2.2.2.2
上面的皆為輸入原則,從這開始則是"路由器"輸出原則.
若路由器來源地址為2.2.2.2 ,出口即指向PPPoE2
至於電腦的輸出原則,
src-address為電腦ip ,chain則改用prerouting...這您應該懂得.

jeremy9678
jeremy9678
jeremy9678
67分
3424樓
2015-04-25 9:04
gfx wrote:
您不能把電腦與路由...(恕刪)


gfx大我一時昏頭忘了你是在定義路由器本身自己所以要用input和outpt
你這麼說我就明白囉,不過標記來進入的封包在做其它標記似乎比較少問題
rubber536
rubber536
rubber536
  • rubber536
  • 個人積分:0分
    文章編號:55522688
0分
3425樓
2015-04-25 16:09
從6.27到6.28一直有一個問題,使用PPTP翻出去的。只要一訪問VPN的規則中的地址,PPTP馬上就斷線,然後重新連接,過一會又會斷線,重複這樣的連接,不知道哪位大大有沒有碰到類似的情況。同樣的VPN伺服器,使用5.20的版本就沒有這個情況

Mason.Lyu
Mason.Lyu
Mason.Lyu
  • Mason.Lyu
  • 個人積分:664分
    文章編號:55525463
664分
3426樓
2015-04-25 21:16
gfx wrote:
因為朋友是單WAN ,做Site-to-Site直接用預設路由即可;
但在路由器多WAN的情況,則必需考量路由器進出策略,就這樣

恭喜,下面這一條是重點:
/ip firewall mangle
add action=mark-routing chain=output src-address=2.2.2.2 new-routing-mark=to_pppoe2

Multi-WAN要作Policy Route是屬進階用法,每一個Case的Scenario都不同
jeremy9678
jeremy9678
jeremy9678
67分
3427樓
2015-04-25 22:44

rubber536 wrote:
從6.27到6.28...(恕刪)


我目前家裡的是6.27從公司4g連回家不會,只是網路有些網站常常很慢
但有可能是公司4g收訊差問題,但不斷線
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:55527216
1603分
3428樓
2015-04-25 23:48
rubber536 wrote:
從6.27到6.28...(恕刪)
應該是您沒有設好PPTP-Server.
PPTP已使用很久了,沒遇過您發生的問題
rubber536
rubber536
rubber536
  • rubber536
  • 個人積分:0分
    文章編號:55527263
0分
3429樓
2015-04-25 23:52

gfx wrote:
應該是您沒有設好PP...(恕刪)


我是使用PPTP的客戶端,連接到其它PPTP的伺服器,在5.20版本不會出現這個問題,到6.27上面就會出現這個情況。
jeremy9678
jeremy9678
jeremy9678
67分
3430樓
2015-04-26 9:16

rubber536 wrote:
我是使用PPTP的...(恕刪)


那server端的pptp的config你看的到嗎?會不會server端是用舊版或不是routeros
設備有相容的問題呢??
  • 860
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
請輸入您要前往的頁數(1 ~ 860)
確定
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?