[研究所] MikroTik RouterOS 學習 (持續更新) (第38頁)

pctine
個人積分：5084分
文章編號：43235864

5084分

樓主

2013-04-21 12:34

Gemma wrote:
client 端作法我試過，在 Windows 機器上
...
不管 source IP 是什麼，能不能 target IP 在 ChinaIPList 內的就不走 VPN tunnel？還是....這還是只能 Client 做？...(恕刪)

說實話, 小弟不太了解你實際上的需求為何?

你現有的架構應該類似下面的架構.
手機 <--VPN---> RouterBoard <---> Internet

重點在於你的手機或是平板都已經是透過 VPN 連上 RouterBoard 了, 至於手機是否走自己的 Internet 線路出去? 或是透過 RouterBoard 連線出去, 已經不是 RouterBoard 可以控制的, 連線的發起是手機, 它的路由要怎麼走是由手機這端來決定的, 怎麼可能由 RouterBoard 來決定呢?

如果你的架構是:
Client --- LAN --- RouterBoard <---> Internet & VPN to other site

這樣出去的路由才是 RouterBoard 可以控制的.

FB: Pctine

pctine

pctine
個人積分：5084分
文章編號：43235886

5084分

樓主

2013-04-21 12:35

gfx wrote:
啊...得了失心瘋!
只是拜讀了幾段pctine大對RouterOS研究,竟敗了台RB450G..
我不缺路由器啊,但我還是買了.!...(恕刪)

拿來研究研究也沒有壞處啊!

FB: Pctine

gfx

gfx
個人積分：1603分
文章編號：43236573

1603分

373樓

2013-04-21 13:18

pctine wrote:
拿來研究研究也沒有壞...(恕刪)

請問pctine大關於設定RouterOS疑問:
因為剛拿到RB450G還需做試驗,目前還不敢直接拿RouterOS直接當主Router.

所有有幾個疑點想先釐清.
RouterOS目前是先做測試,所以是接在RT-N16 LAN的下面.
設定RouterOS Eth1要用DHCP取得RT-N16連線.

但房間只有拉進一條網路線...
所以我希望除Eth1外,Eth2也能設定成切VLAN那樣讓桌機暫從RT-N16取得連線;

而Eth1/Eth3-Eth5 RouterOS這部份,我再透過網路線連接筆電研究當中的關連.
在不影響目前家中區網建置而為前提..請問我要怎麼設定呢?

另外在NTP自動校時,因為RT-N16本身也需設定了NTP..
若在RT-N16設定PortForwarding轉到RouterOS ,那RT-N16 NTP不就失去作用?

同樣DSM 213(NAS)接在RT-N16設定NTP也是遇到相同問題,請問您是怎樣解決?

我曾嘗試用Port Triggering解決,但都無濟於事..根本沒有用!

pctine

pctine
個人積分：5084分
文章編號：43236616

5084分

樓主

2013-04-21 13:21

A/B 兩點建立 VPN, A 點上網全數由 B 點連線出 Internet 的做法

這個在實務上有不少公司需要此種連線方式.

例如類似上面的架構, 假設 A 點在 China, B 點為 Taiwan 總公司, 因為種種考量, A點所有的上網不直接讓它從 China 出去, 而是透過 VPN 將其導至台灣後再連線出去, 通常是管理上的需求或是大陸上網的限制, 必須做如此的設定.

在 RouterOS 上的實作
這種 VPN 架構在 Draytek Vigor Router 上實作是相當容易, 只要勾一個選項就完成設定, 相對在 RouterOS 上複雜了一點, 但只有一個很簡單的觀念:

由於整個前題是 VPN Tunnel 必須先建立起來, 那麼不能將所有的流量都全數導至 VPN Tunnel, 建立 VPN Tunnel 還是要讓它走原本的 Internet 連線,

我們這裡的實作 A & B 都是透過 PPPoE 連線, 而且 VPN Server (B site) 為 PPPoE fixed IP.

建立 VPN 連線的設定這裡就不多做說明. 而 A site PPPoE 連線預設也不讓它自動產生 default route, 因為我們要讓 default route 走 VPN Tunnel 的 priority 較高.

這裡設定 default route 兩筆, 但 VPN Tunnel(pptp-out2) distance=1, 所以 priority 較高. 而這裡有一個重點, VPN server IP=119.145.xxx.xxx, 所以這裡設定只要到此 IP 要走 PPPoE 連線出去, 這是為了確保 VPN Tunnel 建立起來.

/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=pppoe-out1 scope=30 \
target-scope=10
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=pptp-out2 scope=30 \
target-scope=10
add disabled=no distance=1 dst-address=119.145.xxx.xxx/32 gateway=pppoe-out1 \
scope=30 target-scope=10

這樣就完成設定了. 其實只要觀念正確, 設定上並沒有什麼難處. 而即使因為種種原因 VPN Tunnel 無法建立起來, 因為我們有第二筆 default route, 它還是能夠連上 Internet 無誤的.

在小弟的實作上, A/B 兩點建立 VPN Tunnel, A點在台灣, B點在中國, 完成設定後上 ipaddress.com 實測一下. 雖然我人在台灣, 但查到的 IP 已經確定是從中國東莞出去了.

前面的實作上 VPN Server 端必須為固定 IP, 但實務上如果是動態 IP 要怎麼辦? 這時候可以在 RouterOS 上透過一些 script & netwatch tool, 當 Internet 連線建立起來後, 以 script 去建立 VPN Tunnel & ip route 就可以了.

FB: Pctine

Gemma

Gemma
個人積分：4分
文章編號：43236735

4分

375樓

2013-04-21 13:30

不知道是 RouterOS 不穩定還是昨天設了哪條 rule 有問題，又連不上 RouterOS 了
這已經第二次了
前天設定 L2TP 以後 reboot 就再連不上
昨天下午特地跑去辦公室，連直接在 lan 用 winbox 都無法連，還要 reset configuration 才可以用。特別先綁定IP可以使用 telnet、Webbox，也設好的 PPTP VPN
昨晚在家在改 route 的設定，然後又連不上
昨晚正在嘗試的想把
從連進 WAN1 的從 WAN1 出（測試的方法是連上 www.whatismyip.com 去看顯示的 IP 是不是 wan1 的 IP），從連進 WAN2 的從 WAN2 出，但兩個 WAN 同一個 Gateway

pctine

pctine
個人積分：5084分
文章編號：43236848

5084分

樓主

2013-04-21 13:37

因為剛拿到RB450G還需做試驗,目前還不敢直接拿RouterOS直接當主Router.

我會建議你 RT-N16 & Rb450G 放在平行的位置, 即兩台 router 的 wan port 都接至中華電信 XDSL MODEM, 至於 LAN IP 錯開就好了, 而 dhcp server 你可以先把 RB450G 上的關掉,

這樣所有的電腦還是透過 RT-N16 上網, 而 RB450G 就先拿來練習. 而不要把兩台 router 串在一起.

另外在NTP自動校時,因為RT-N16本身也需設定了NTP..
若在RT-N16設定PortForwarding轉到RouterOS ,那RT-N16 NTP不就失去作用?

自動校時用到的都是 NTP client 吧, 應該不需要設定 port forward.

FB: Pctine

gfx

gfx
個人積分：1603分
文章編號：43237062

1603分

377樓

2013-04-21 13:53

pctine wrote:
我會建議你 RT-N16 & Rb450G 放在平行的位置, 即兩台 router 的 wan port 都接至中華電信 XDSL MODEM, 至於 LAN IP 錯開就好了, 而 dhcp server 你可以先把 RB450G 上的關掉,

這樣所有的電腦還是透過 RT-N16 上網, 而 RB450G 就先拿來練習. 而不要把兩台 router 串在一起.

RT-N16與RB450G WAN都在相同位置,
RT-N16下的區域電腦有法操作及使用RB450功能及連線嗎?

自動校時用到的都是 NTP client 吧, 應該不需要設定 port forward.

可是NAS控制台裡的'路由器配置',沒設定PortForward..NTP測試會沒辦法通過耶!

YAWPYNG

YAWPYNG
個人積分：618分
文章編號：43237173

618分

378樓

2013-04-21 14:01

gfx wrote:
另外在NTP自動校時,因為RT-N16本身也需設定了NTP..
若在RT-N16設定PortForwarding轉到RouterOS ,那RT-N16 NTP不就失去作用?...(恕刪)

ROUTEROS机器只要能正常連上網路,並且也設好ntp client的話就會自動連線到internet上的ntp server 去校時,跟上一層的路由器無關.

除非你上一層的機器防火牆把它ntp 的port給drop才會有問題.

YAWPYNG

YAWPYNG
個人積分：618分
文章編號：43237192

618分

379樓

2013-04-21 14:02

gfx wrote:
RT-N16下的區域電腦有法操作及使用RB450功能及連線嗎? ...(恕刪)

用公網ip去連.

YAWPYNG

YAWPYNG
個人積分：618分
文章編號：43237405

618分

380樓

2013-04-21 14:18

Gemma wrote:
client 端作法我試過，在 Windows 機器上
但是現在常常用手機或平板，所以想問問有沒有在 server 端可以一勞永逸的方法
我買 RouterOS 是想利用多個 WAN IP 翻牆，RouterOS 提供多種 VPN，正逐一在研究
目前已經完成了 PPTP VPN（尚有缺陷，沒辦法連進 WAN1 的從 WAN1 出，連進 WAN2 從 WAN2，有教學，但是我兩個 WAN 同一個 Gateway，設不起來）
這篇主要想問題是，退而求次
不管 source IP 是什麼，能不能 target IP 在 ChinaIPList 內的就不走 VPN tunnel？還是....這還是只能 Client 做？..(恕刪)

http://www.tcp5.com 這裡有全中國的ip列表,用excel編輯好後一次導入routeros 的address list裡面.

然後設定幾條策略讓非中國的ip都跑vpn出去就行了.