[研究所] MikroTik RouterOS 學習 (持續更新) (第40頁)

YAWPYNG
個人積分：618分
文章編號：43242427

618分

391樓

2013-04-21 20:27

Gemma wrote:
對！這就是我的需求我...(恕刪)

多公網iP的ROUTEROS環境, 當vpn user從任何一個WAN IP進來要從原來的WAN IP出去，這種的方案必須用戶的帳號綁定IP，然後用戶IP再綁定出口的WAN IP才可以。

若沒綁定的話，都是一律由默認路由連出去(default route)。

pctine

pctine
個人積分：5084分
文章編號：43242778

5084分

樓主

2013-04-21 20:49

gfx wrote:
Hinet Dual Stack設定遇到瓶頸,請pctine大幫忙...
請問設定prefix其下兩行,為何都是灰色無法填字?

prefix 是由 ISP server 端取得的, 它不需自己填入, 如正確連線它就會 show 出來.

另外IPv6 Address <::1/64>...(恕刪)

Interface 指定到你的 LAN Port 就對了.

有關 RouterOS & Hinet IPv6 Dual stack 的設定你找一下小弟之前的文章, 上面有詳細的說明.

FB: Pctine

Gemma

Gemma
個人積分：4分
文章編號：43248210

4分

393樓

2013-04-22 1:14

我不是很理解您的意思
默認的 Gateway 出去？兩個公網的 IP 是同一個 Gateway 呀！
RouterOS 是怎麼決定從 WAN1 還是 WAN2 出去？

YAWPYNG wrote:
多公網iP的ROUT...(恕刪)

Gemma

Gemma
個人積分：4分
文章編號：43248217

4分

394樓

2013-04-22 1:14

我不是很理解您的意思
默認的 Gateway 出去？兩個公網的 IP 是同一個 Gateway 呀！
RouterOS 是怎麼決定從 WAN1 還是 WAN2 出去？

YAWPYNG wrote:
多公網iP的ROUT...(恕刪)

Gemma

Gemma
個人積分：4分
文章編號：43248233

4分

395樓

2013-04-22 1:16

有個"！"的功能，這個是重點
這樣邏輯我清楚了，我自己試試看

YAWPYNG wrote:
把中國的ip找出來後...(恕刪)

pctine

pctine
個人積分：5084分
文章編號：43248872

5084分

樓主

2013-04-22 2:27

Gemma wrote:
我不是很理解您的意思
默認的 Gateway 出去？兩個公網的 IP 是同一個 Gateway 呀！

無關乎 gateway, "從那個 WAN 進來, 就要從那個 WAN 回去".

RouterOS 是怎麼決定從 WAN1 還是 WAN2 出去？

根據 ip route 上面的 routing table 來決定的.

FB: Pctine

Gemma

Gemma
個人積分：4分
文章編號：43251429

4分

397樓

2013-04-22 9:45

請問，那這樣設定有什麼問題嗎？
我嘗試把 chain 從 input/output 改成 prerouting
也嘗試過把 action=mark-routing 的部分加上 src address 為 VPN 取得的內部 IP
VPN 連進去以後，去其他網站看到的自己的 IP 都是 wan1 的 IP

chain=input action=mark-connection new-connection-mark=from_wan1 passthrough=yes connection-state=new in-interface=wan1
chain=input action=mark-connection new-connection-mark=from_wan2 passthrough=yes connection-state=established in-interface=wan2
chain=output action=mark-routing new-routing-mark=to_wan1 passthrough=yes src-address-type="" connection-mark=from_wan1
chain=output action=mark-routing new-routing-mark=to_wan2 passthrough=yes connection-mark=from_wan2

add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=wan1 routing-m
to_wan1 scope=30 target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=wan2 routing-m
to_wan2 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gat
gateway_ip scope=10 target-scope=10

pctine wrote:
無關乎 gatewa...(恕刪)

Gemma

Gemma
個人積分：4分
文章編號：43253608

4分

398樓

2013-04-22 11:12

因為最近一直在研究 RouterOS 的設定，而機器放在公司。雖然還有很多問題，我想優先解決的是，為了方便設定，我綁定家裡的 IP 可以做遠程管理，免得我常常要跑公司直接從 LAN 連 RB450G
我的環境是 2 WAN 是固定 Public IP 且相同 Gateway，第三個 WAN 則是公司的內網取得的 DHCP IP（這個暫時被 Disable 免得變數太多）
我的設定是
1. IP Services 裡面指定 www, winbox, telnet 可以從 LAN 與家裡的 IP 連上，同時修改的 www 的 port 為 8081，而 telnet 與 winbox 的 port 並沒有改變
2. IP Firewall Filter Rule 裡面的設定
add action=accept chain=input disabled=no dst-port=8081 in-interface=wan2 protocol=tcp
add action=accept chain=input disabled=no dst-port=443 in-interface=wan1 protocol=tcp
add action=accept chain=input disabled=no dst-port=23 in-interface=wan2 protocol=tcp
add action=accept chain=input disabled=no dst-port=8291 in-interface=wan2 protocol=tcp
3. IP Firewall NAT 裡面的設定
add action=dst-nat chain=dstnat disabled=no dst-port=8081 in-interface=wan2 protocol=tcp to-addresses=192.168.88.1 to-ports=8081
add action=dst-nat chain=dstnat disabled=no dst-port=443 in-interface=wan1 protocol=tcp to-addresses=192.168.88.1 to-ports=8081
add action=dst-nat chain=dstnat disabled=no dst-port=23 in-interface=wan2 protocol=tcp to-addresses=192.168.88.1 to-ports=23
add action=dst-nat chain=dstnat disabled=no dst-port=8291 in-interface=wan2 protocol=tcp to-addresses=192.168.88.1 to-ports=8291

測試的結果
第一個問題：
直接從家裡 IP 連上 WAN2，不管是 www, telnet, winbox 都可以使用
直接從家裡 IP 連上 WAN1，因為從 port 443 轉成 port 8081，用 Browser 連線也不行
第二個問題：
人在外地，又想管理 RouterOS，因為已經限制只能用家裡的 IP 管理
使用 PPTP VPN 連回家裡，檢查對外 IP 顯示為家裡的 IP，無法連上 RB450G
使用 SSH + Proxy 的方式連回家裡，檢查對外 IP 顯示為家裡的 IP，可以使用 Browser 連上 RB450G，但 telnet 與 winbox 則不行

請教一下，這是哪裡設定錯了嗎？

garyiyo

garyiyo
個人積分：0分
文章編號：43259288

0分

399樓

2013-04-22 15:41

各位大大
有人試過routeros 跟fortigate 的ipsec 嗎?
我試了一下,建不起來,有人有成功過嗎?

derliang

derliang
個人積分：1143分
文章編號：43261083

1143分

400樓

2013-04-22 17:10

Gemma wrote:
因為最近一直在研究 RouterOS 的設定，而機器放在公司。雖然還有很多問題，我想優先解決的是，為了方便設定，我綁定家裡的 IP 可以做遠程管理，免得我常常要跑公司直接從 LAN 連 RB450G ...(恕刪)

您何不在RB450G上面設一個VPN帳戶，然後遠端以VPN連入管理RB450G就好了？

irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!