首先非常感謝您這麼好的一個學習貼 給我幫助不少。但是我在部署sstp 時遇到一個路由問題,我也看了你的關於靜態路由和策略路由的內容,但是還是不大懂。
我想把我的情況說下 ,請您指導解惑下 :
我的網路三塊,分別是 A點 、 B點、 C點三個地方。
C是總部,使用linux製作的pptp 伺服器。靜態IP。
B是分部,是MikroTik RB2011的路由,靜態IP。B平時通過pptp vpn訪問C的內網伺服器。
A也是分部,也是MikroTik 路由器。但是在別人兩層防火牆下,pptp,l2tp 等不通。故無法與C建立vpn,但經過測試可以與B建立sstp vpn ,而且AB之間可以互訪內網。
C網段172.16.0.0/24; B網段172.16.16.0/24; A網段192.168.7.0/24
簡單說就是 B可以訪問C; AB可以互訪;A不能訪問C;想讓A通過B來訪問C
----------------------------------------------------------------------------
下面是A的設置情況:
A到B的sstp
A 到B的路由
然後自己設置了一個A到C的路由,問題的關鍵點就是這塊
-------------------------------------------------------------------------
下面是B上的設置情況:
B上的到A的路由設置
B到C的pptp vpn連接
B到C的路由
B到C的NAT
-------------------------------------------------------------------------
B到A是通的
B到C是通的
A到B是通的
A到C是不通的
通過tracert發現A到了B的sstp地址192.168.99.3後路由就不知道如何走了,是不是說設置的關鍵是B上 ?
在B上讓A(192.168.7.0/24)和C(172.16.16.0/24)能夠在它這中轉流通?
通俗說就是 B認識C B認識A 但是AC不認識,得讓B介紹A和C認識,對吧?
這個具體設置該如何改呢?還請PC大大指點
請問各位先進,我自己有練習架站,在firewall有把80 port 對準某一台電腦的ip
對外連入也可以如期連線,但區網內的電腦,打domain還是連不到或都是連到router
貌似區域網路內也要設定一下,我是有把in interface 這邊亂選看看不過變成怪怪的
另一個問題是我有抓來源ip,我看我買的機器內建有一些設定
他提示我某一個設定值,在src.address需要填上區域網段,才可以實際抓
我改了,還不知道效果的情況下,反而facebook認證變成過不了
不知道是不會我改錯,目前抓ip都是192.168.x.1
因為有2個panel都有src.address,一個是general,一個是advanced
我也不曉得我填的方式對不對,所以還是照原本設定..
aloading wrote:替pctine大代答:
PC 大 你好 首...(恕刪)
您漏標示Site: B pptp-out102的 local-address / remote-address ,
所以假設Site: B pptp-out102的 local-address=192.168.88.7 / remote-address=192.168.88.3
Site: A
/ip route add gateway=sstp-out111 dst-address=172.16.0.0/19
/ip firewall nat add action=masquerade chain=srcnat out-interface=sstp-out111
Site: B
/ip route add gateway=sstp-in111 dst-address=192.168.7.0/24
/ip firewall nat add action=masquerade chain=srcnat out-interface=sstp-in111
/ip route add gateway=pptp-out102 dst-address=172.16.0.0/24
/ip firewall nat add action=masquerade chain=srcnat out-interface=pptp-out102
Site: C
DstIP=172.16.16.0 Netmask=255.255.255.0 Gateway=192.168.88.7 Interface=pptp-in102 metric=1
DstIP=192.168.7.0 Netmask=255.255.255.0 Gateway=192.168.88.7 Interface=pptp-in102 metric=2
阿台老師 wrote:/ip firewall nat上面的請您全刪,請依小弟指導方式設定.
請問各位先進,我自...(恕刪)
NAT偽裝(也就是上面那條不能刪的,請擺在0的位置):
NAT映射(從外網連線至個人伺服器):
以上小弟介紹tcp port=80 映設至192.168.88.100 ,其它的映射port您可借鏡.
至於to-port需不需也設80 ,答案是port:80 to 80 ,這種請況就無需填to-ports;
若是port:8080 to 80 ,也就是8080轉port到80 ,這時後就得填to-ports.
NAT Loopback(目的在內網使用ddns連接個人伺服器,請擺在所有NAT設定的最下端):
阿台老師 wrote:
但是我區域網路內的電腦去連主機依然是會直接出現router的登入畫面
感覺是指到192.168.88.1的router,沒指定到我要的192.168.88.x
您真的有依指導的方式操作嗎?
您映射裡有設in-interface=pppoe-out1,不像圖式標的in-interface是關閉的對不對
我所指導的是搭配NAT Loopback的方式(不限定接口,也就是不分內/外網),
而in-interface是指定接口,也就是從pppoe-out1進入的才行(也因不包含內網,所以內網無法映射)
該電腦如果有架設ftp,port不是預設的21,改成99to-ports這時就可以用.
是需要開一個dst-nat依照80的方法設定一個99嗎?謝謝
和您的想法一致,將www.abc.net:21 轉到192.168.88.100:99
不過現在是遇到ftp不能連,網頁架站按照設定80沒問題!
ftp我是用FileZilla架,預設是21,也就是網址後面不用特地加PORT預設方式
我這台電腦本來是在別處直接接小烏龜的方式當主機,原本FTP用過21
後來怕說會不會太簡單就被人TRY,所以任意改一下類似99
所以連就打ftp://www.domain.com:99 去連!
這方面伺服器是winserv2008RC,作業系統內建的PORT有去開過,以前都可以連
後來整台設定沒改搬移到家裡之後,多買了ROUTER OS
一開始是架站網頁不曉得怎麼指跟開通,現在OK
不過FTP按照那個方式,怎麼連也連不到
但是主機單機打127.0.0.1或192.168.88.99都方式都可以連自己,預設PORT 21或99都可以
不過這感覺自己連自己沒有透過router os,所以一定都可以連得到
(因為我自己把filezilla的 listyen on ports 亂改成111,222,333
自己連自己都可以連,不過至少表示是有架起來
只是通道接口設定上..
懇請大大指導,感謝
內文搜尋
從 APP 打開
X