[研究所] MikroTik RouterOS 學習 (持續更新) (第434頁)

thomasho
個人積分：218分
文章編號：58496118

218分

4331樓

2015-12-08 18:20

gfx wrote:
可以啊,有教學影片...(恕刪)

不好意思~小弟可能沒有說清楚...

小弟的狀況是,office的CISCO和A、B兩點已建立site-to-site IPSEC VPN....
然後小弟用iPhone透過4G連線到office CISCO建立client-to-site IPsec VPN.....
透過VPN連線,小弟iPhone可以連到A、B兩點......

以上是小弟的需求...

請問這樣做得到嗎?

gfx

gfx
個人積分：1603分
文章編號：58496336

1603分

4332樓

2015-12-08 18:43

thomasho wrote:
不好意思~小弟可能...(恕刪)

沒錯啊,基本site-to-site一定要先建立起來,才能設路由表.
路由表一旦建立,自然vpn-client可透過路由表穿越至IPSec隧道的另一端.

pctine

pctine
個人積分：5084分
文章編號：58497915

5084分

樓主

2015-12-08 21:28

thomasho wrote:
不好意思~小弟可能沒有說清楚...

小弟的狀況是,office的CISCO和A、B兩點已建立site-to-site IPSEC VPN....
然後小弟用iPhone透過4G連線到office CISCO建立client-to-site IPsec VPN.....
透過VPN連線,小弟iPhone可以連到A、B兩點......

以上是小弟的需求...

請問這樣做得到嗎?...(恕刪)

這很難說, 因為你現所使用的架構, iphone 上應該是使用 cisco 所提供的 app, 相關路由的一些設定應該是在該 app 上, 或者是連線時由 VPN server端所自動提供的路由資訊, 所以能再連到其他 VPN 的端點.

前面所提 "很難說絕對可以", 因為你並沒有提到要使用何種 VPN協定, 而 Mikrotik 本身並沒有提供 iOS app, 所以你必須使用 iOS 原生所支援的 VPN協定, 如果走 PPTP, 並且連線時將流量全數導到 VPN tunnel, 那 RouterOS 可以做到你要的功能. 但如果不將流量全數導到 VPN Tunnel, 那就沒有辦法. 印象中好像沒有手動設定 routing table 的地方.

那 L2TP or IPSEC 呢?　你可能要自己試看看了, 這也就是為何在一些較知名的 firewall, 雖然價格高了些, 但相對的有提供專屬的 app, 在設定上容易許多.

FB: Pctine

valsily

valsily
個人積分：58分
文章編號：58498606

58分

4334樓

2015-12-08 22:37

之前試RouterOS的ipsec，沒有interface mode，只能用policy mode，記得當時在論壇上看到過ipsec interface mode的feature request，但是一擺好幾年。現在不知道有了沒?

thomasho

thomasho
個人積分：218分
文章編號：58499256

218分

4335樓

2015-12-08 23:40

pctine wrote:
這很難說, 因為你...(恕刪)

小弟是用iPhone裡預設的IPsec,預設有PPTP/L2TP/IPsec三種vpn可以設定...如果是CISCO的app的話那是CISCO Anyconnect...
下面apple官網可以看到iPhone的VPN設定畫面....
https://support.apple.com/zh-tw/HT201550

iPhone的IPsec可以跟CISCO PIX/ASA、Juniper,Fortigate做client-to-site IPsec VPN....所以並不是特殊或是CISCO限定的....

我不用PPTP or L2TP over IPsec的原因就是我需要做Split Tunneling,而且我需要當iPhone建立tunnel後,可以到達多個subnet...這個PPTP/L2TP好像做不到...

gfx

gfx
個人積分：1603分
文章編號：58500155

1603分

4336樓

2015-12-09 2:11

thomasho wrote:
小弟是用iPhone...(恕刪)

家中的Router與Office有建立ipip-site-to-site ,Office與Office2建立另一個site-to-site.
因為Home/Office/Office2彼此有路由表建立關聯,
所以小弟可透過iPhone_l2tp/ipsec先連接家中Router ,進而轉進Office或Office2伺服器.

因目前小弟可設定ipsec-site-to-site的只有Home與Office ,
所以我猜Office2若可建另一個ipsec-site-to-site
透過路由表由iPhone的l2tp/ipsec經過Home,再經過Office到Office2應該也可以吧.

之前有人說IPSec建立site-to-site沒有路由表,這是錯誤的.
因為ipsec的路由表並不在firewall route上,而是在ipsec policy裡.

環境:
iPhone vpn-ip :172.19.12.2
Home :192.168.88.0/25
Office:192.168.13.0/26

Home的ipsec policy設置: (policy設兩組:一組是本地,一組vpn)

Office的ipsec policy設置: (同樣policy設兩組:一組是本地,一組vpn)

當然本地site-to-site要正常使用,如: 用192.168.13.1登入Office winbox

iPhone則是透過l2tp/ipsec連接至Home ,並成功穿越Home打開Office Route-Web.

ckleea

ckleea
個人積分：0分
文章編號：58500600

0分

4337樓

2015-12-09 7:25

請問在dual wan 的情況下，可以配置2個pptp servers 或2個sstp servers?
如果可以，應該怎樣設定firewall rules?

thomasho

thomasho
個人積分：218分
文章編號：58501269

218分

4338樓

2015-12-09 9:07

gfx wrote:
家中的Router...(恕刪)

假設我office ASA的網段是192.168.1.0/24,A點的網段是10.100.100.0/24

所以我的需求是手機要經過192.168.1.0/24再到10.100.100.0/24...
但是我需要上網流量丟往Internet,要到192.168.1.0/24和10.100.100.0/24的才經過IPsec包起來.....

也就是說,如果我用ASA的話,IPsec policy裡的"Local network(dest network)",是可以設定多subnet(192.168.1.0/24 and 10.100.100.0/24)
這樣當iPhone建立IPsec VPN的時候,就會知道只要是到192.168.1.0 & 10.100.100.0的話就用IPsec包起來並丟給peer IP...
反之不match的封包就當作一般流量往Internet丟.....

所以RouterOS的L2TP over IPsec可以設定多subnet嗎?不管是src or dest?

gfx

gfx
個人積分：1603分
文章編號：58502638

1603分

4339樓

2015-12-09 10:40

thomasho wrote:
假設我office...(恕刪)

iPhone透過l2tp/ipsec一定是所有流量都導向l2tp-server ,
然後透過server判斷10.100.100.0/24封包是internet或者是下一層server.

若要從iPhone開始就判斷10.100.100.0/24是否為server的,其它仍使用行動網路.
目前小弟試過iPhone內建支援的vpn ,只有ipsec xauth辦得到.

因為對ipsec xauth來說只有加入policy的網段才會導向server,其它的則都不會.

thomasho

thomasho
個人積分：218分
文章編號：58502754

218分

4340樓

2015-12-09 10:49

gfx wrote:
iPhone透過l2tp...(恕刪)

是的,小弟就是要這個功能......

所以,RouterOS有這功能嗎???

小弟現在想把服役十幾年的cisco設備換掉...畢竟效能不夠了.......