[研究所] MikroTik RouterOS 學習 (持續更新) (第354頁)

win28703

win28703
個人積分：0分
文章編號：56012770

0分

3531樓

2015-05-29 16:46

查下這是否正確

AKSN74 wrote:
兩台N18U是可以...(恕刪)

WilliamTai

WilliamTai
個人積分：38分
文章編號：56013138

38分

3532樓

2015-05-29 17:10

win28703 wrote:
查下這是否正確...(恕刪)

剛剛把機器Reset，ether4&5 master-port指定給ether3，再按照您的設定在Bridge裡面建立一個Bridge-LAN，DHCP Server指定在Bridge-LAN上面仍然是紅字。

My Blog -> 白髮．青春 http://www.blogger.idv.tw/

WilliamTai

WilliamTai
個人積分：38分
文章編號：56013199

38分

3533樓

2015-05-29 17:14

WilliamTai wrote:
剛剛把機器Reset...(恕刪)

現在還有一個狀況是，ether3已經master-port=none，但從winbox裡面看ether3仍然有"S"的標示，應該還是Slave狀態。

My Blog -> 白髮．青春 http://www.blogger.idv.tw/

AKSN74

AKSN74
個人積分：1660分
文章編號：56014085

1660分

3534樓

2015-05-29 18:27

WilliamTai wrote:
現在還有一個狀況是...(恕刪)

以你的例子來看 RB450G因為只有一個switch chip 所有的port都屬於同一個Group 這是正常的

然後確定ether1,2,3的Master Port都設為none後再將ether4,5設ether3為master port
之後再將DHCP Server以及IP > Addresses中的路由器IP的Interface都改為ether3
再把原本的LAB Bridge給移除就可以了

DHCP SV會紅字應該是因為Addresses那邊沒跟著改的關係

WilliamTai

WilliamTai
個人積分：38分
文章編號：56020475

38分

3535樓

2015-05-30 9:35

解決了，非常感謝！
回饋一點經驗，RB450G設定dual wan時，interface設定完後default DHCP Server最好是砍掉重新再設定一個，DHCP Server紅字的問題即可解決。

My Blog -> 白髮．青春 http://www.blogger.idv.tw/

WilliamTai

WilliamTai
個人積分：38分
文章編號：56022052

38分

3536樓

2015-05-30 12:04

AKSN74 wrote:
以你的例子來看 RB450G...(恕刪)

又有新的問題了。在設定PPTP Server完成後的測試連線一直無法連上，從Log裡面看是有Client試圖連接port 1723的紀錄，gre有開放但packet的數量一直都是0。

從Client電腦的Log看到是：
PPTP error when reading header for start_control_connection_reply : Connection reset by peer

我在System Logging裡面有啟用了PPTP Server Log，但在Log file裡面什麼都沒看到。

編輯：
自問自答，PPTP Server serivce似乎init沒有成功，升級到6.29並且重新開機幾次之後終於有看到Error Log了

My Blog -> 白髮．青春 http://www.blogger.idv.tw/

AKSN74

AKSN74
個人積分：1660分
文章編號：56023358

1660分

3537樓

2015-05-30 14:00

WilliamTai wrote: 又有新的問題了。在設定PPTP S...(恕刪)

Firewall的Filter跟NAT你怎麼設定?
能提供一下?

WilliamTai

WilliamTai
個人積分：38分
文章編號：56023476

38分

3538樓

2015-05-30 14:10

AKSN74 wrote:
Firewall的Filter...(恕刪)

我剛剛解決了，升級6.29之後並且Reboot幾次，有看到PPTP Server Log了，之後一切都正常。
似乎是PPTP Server在6.28時一開始就沒有初始化成功，這部分在Log裡面好像也看不出來，所以後來製造了幾個故意輸入錯誤密碼的連線，有看到Error才算正常。

My Blog -> 白髮．青春 http://www.blogger.idv.tw/

WilliamTai

WilliamTai
個人積分：38分
文章編號：56029151

38分

3539樓

2015-05-30 23:08

AKSN74 wrote:
Firewall的Filter...(恕刪)

VPN設定完了又遇到新的問題。
VPN Client -> RB450G -> Internet 這段沒問題
但VPN Client要連接RB450G連接的的區域網路內電腦（Remote site LAN）卻沒有Route。

Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 Hinet_Dyn 1
1 A S 0.0.0.0/0 Hinet_Static 1
2 ADS 0.0.0.0/0 168.95.98.254 1
3 ADC 168.95.98.254/32 114.24.25.4 Hinet_Dyn 0
Hinet_Static
4 ADC 192.168.100.0/24 192.168.100.11 ether3-master-l... 0
5 ADC 192.168.100.198/32 192.168.100.11 <pptp-WilliamTa... 0

192.168.100.198是VPN Client，192.168.100.0/24是要連接的Remote site LAN。
從IP Route裡面看起來是有一條rule指向ether3的LAN port，但實際從VPN Client對Remote site LAN的電腦做traceroute

traceroute to 192.168.100.241 (192.168.100.241), 64 hops max, 52 byte packets
1 192.168.100.11 (192.168.100.11) 46.862 ms 42.037 ms 39.431 ms
2 *

到RB450G就就卡住了。

NAT其他都是開port，只剩這三條可能有關係。

8 ;;; NAT Loopback
chain=srcnat action=masquerade src-address=192.168.100.0/24
dst-address=192.168.100.0/24 log=no log-prefix=""

9 ;;; Hinet Dyn mas
chain=srcnat action=masquerade out-interface=Hinet_Dyn log=no log-prefix=""

10 ;;; Hinet Static mas
chain=srcnat action=masquerade out-interface=Hinet_Static log=no log-prefix=""

Firewall forward chain：

16 chain=forward action=accept src-address=192.168.100.0/24 log=no log-prefix=""

17 ;;; Jump for icmp forward flow
chain=forward action=jump jump-target=ICMP protocol=icmp
src-address=192.168.100.0/24 log=no log-prefix=""

18 ;;; Add Spammers to the list for 3 hours
chain=forward action=add-src-to-address-list protocol=tcp address-list=spammers
address-list-timeout=3h dst-port=25,587 connection-limit=30,32 limit=30/1m,0
log=no log-prefix=""

19 ;;; Avoid spammers action
chain=forward action=drop protocol=tcp src-address-list=spammers
dst-port=25,587 log=no log-prefix=""

就算forward chain全部都停了也沒影響。

不解的是IP route裡面已經有Remote site LAN的routing資料，為何封包還會卡在RB450G上？

My Blog -> 白髮．青春 http://www.blogger.idv.tw/

AKSN74

AKSN74
個人積分：1660分
文章編號：56029623

1660分

3540樓

2015-05-30 23:44

WilliamTai wrote:
VPN設定完了又遇...(恕刪)

我自己的PPTP Server沒有另外設Route
但我PPTP欸發給遠端的IP也跟區網同網段就是了
唯一有變的只有OpenVPN所配發的IP

至於PPTP的profile 我本身只有設Local IP為路由器本身
DNS也是路由器本身其它的就沒有多做設定了