討論群組

860

[研究所] MikroTik RouterOS 學習 (持續更新)

NeverGiveUp!!!
個人積分：58分
文章編號：61071709

58分

4931樓

2016-07-26 4:44

去年ＭｉｋｒｏＴｉｋ就貼過這張．

Ｃｌｏｓｅｒ：世界在變，我隨之而變．我心則續於寧靜．　：）物質無法取代的快樂之大小便是真理！\ｍ/

tsengleoo
個人積分：79分
文章編號：61077054

79分

4932樓

2016-07-26 14:37

最近在測試L2TP，有發現一些關於IPSec的問題
目前已知兩端用的key，若採不同位元加密方式
則會出現如圖打架的狀況，似乎在自動協調上有點問題
暫發現WIN 10連線採用SHA-1，Andiord手機則採SHA-256
除調整LOG紀錄項目外，是否有其他的解決方法?
麻煩各位先進指教，謝謝

gfx

gfx
個人積分：1603分
文章編號：61078074

1603分

4933樓

2016-07-26 15:53

tsengleoo wrote:
最近在測試L2TP...(恕刪)

Mikrotik L2TP/IPSec 伺服端與Windows用戶端相容問題一堆,
過去Mikrotik解決方法很爛,即修改Windows登入檔,讓Windows略過IPSec驗證,才能順利連接L2TP.

除非您不在乎封包加密,不然Windows建議不要再使用L2TP/IPSec ,L2TP/IPSec只留給手機用就好.

tamk43

tamk43
個人積分：0分
文章編號：61079366

0分

4934樓

2016-07-26 17:40

想請教各位大大

我想hotspot在做完登入驗證後，除了開啟原本要去的網頁外再導轉開一個新的url
目前做法是在file下的alogin.html加了一個open的HTML語法，的確有達到我想要的
但是只有電腦用有線接mikrotik的時候才會成功
但是如果接AP出來電腦跟手機用無線網路就沒辦法了
想請教有沒有什麼做法

tsengleoo
個人積分：79分
文章編號：61083101

79分

4935樓

2016-07-27 0:05

gfx wrote:
Mikrotik L2TP...(恕刪)

感謝回應，因為有找過一些資訊
發現L2TP比PPTP優點來的多
所以花了不少時間在試L2TP
結果才知道是原廠的問題...

因為PPTP已經測試成功且方便許多
雖然安全性似乎比不上...
但相容性確實是比較高

另外SSTP也蠻新的，且是微軟發展的
但似乎Android手機不支援的樣子
反而只有Windows支援...
感覺實用性不太高...

mandymak

mandymak
個人積分：11分
文章編號：61093411

11分

4936樓

2016-07-27 19:33

tsengleoo wrote:
感謝回應，因為有找...(恕刪)

Android機有付費的SSTP VPN App.

JQJQ

JQJQ
個人積分：923分
文章編號：61094265

923分

4937樓

2016-07-27 21:03

>>因fasttrack有使用到magle標記的關係,會影響路由與Qos標記 ,造成策略全失效.
>>索幸fasttrack不用了...

可惜了...

gfx

gfx
個人積分：1603分
文章編號：61096579

1603分

4938樓

2016-07-28 0:41

Site to Site 過去沒人提及的事 :

做Site to Site時眾人皆知除要VPN本身外,還需建置路由表.
但NAT需要嗎? 這個問題很有趣...

以下皆以NAT為討論為重:

Q1:192.168.1.100連接192.168.2.60需透過srcnat偽裝嗎?
Ans:不需要,透過路由表就已經達成.

若RouterA設srcnat偽裝,所有的192.168.1.0/24 ip都會轉換成172.19.0.2
所以在RouterB或PC2查連線時,只會有172.192.0.2連線出現,查不到192.168.1.100這個ip

若沒多事設srcnat偽裝,RouterB與PC2查連線,就192.168.1.100連進來的.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Q2:192.168.1.100連接192.168.2.1是否也無需srcnat偽裝嗎?
Ans:是的,192.168.1.100連接192.168.2.1無需srcnat偽裝.

但並不代表192.168.1.100連接172.19.0.1無需偽裝,
192.168.1.100不在RouterA先偽裝成172.19.0.2 ,是連接不到172.19.0.1的.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Q3:既然192.168.1.100連接172.19.0.1需srcnat偽裝,
那192.168.1.1連接172.19.0.1成功是否也因srcnat偽裝達成的?
Ans:否定,Router連結是沒有使用NAT這層的.所以根本不會有所謂的srcnat偽裝.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Q4:若PC1的封包要透過RouterB送至網際網路,
因192.168.1.0/24與192.168.2.0/24無需透過srcnat ,所以RouterA的srcnat可不做對嗎?
Ans:錯的,就像Router對網際網路.送出去一定得經srcnat偽裝成WAN IP.

PC1要將封包送到RouterB的WAN,一定要先在RouterA srcnat偽裝成172.19.0.2
然後在RouterB再透過srcnat偽裝成WAN IP送出才行.

也因封包皆被偽裝成172.19.0.2 ,所以在RouterB查不到來源是192.168.1.100,還是其它.

若PC1不在RouterA作srcnat ,封包就會卡在RouterA等著逾時消滅.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Q5:封包可不可以從RouterB的WAN ,dstnat映射至192.168.1.100 ?
Ans:可以,若RouterB沒做srcnat偽裝(將ip偽裝成172.19.0.1),
RouterA與RouterB與PC1都可以查到從網際網路連入的IP.

若RouterB的srcnat做了,從網際連入的IP只有RouterB查的到.
RouterA與PC1只會查到有172.19.0.1這個ip連入.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Q6:封包從RouterB的WAN ,dstnat映射至192.168.1.1會如何 ?
Ans:若RouterB不做srcnat ,封包會只到RouterA停止無法返回.

若不選擇192.168.1.1 ,改dstnat映射至172.19.0.2會如何?
同192.168.1.1 ,封包一樣至RouterA停止無法返回.

所以從網際網路將封包映射至RouterA ,一定要先srcnat偽裝成172.19.0.1才行.
所以要RouterA管理從RouterB映射進來的封包幾乎不可能,因為ip全換成172.19.0.1了.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
總結:所以srcnat需不需要? 當然要~
但要怎麼設?

重點在於目的(dst-address)

上面提到PC1除192.168.2.0/24連接不需做srcnat ,
像連接172.19.0.1或透過RouterB翻牆時srcnat都是必備的.

所以RouterA新增NAT Rule時,只要將Rule的dst-addres設!192.168.2.0/24
也就srcnat偽裝略過目的192.168.2.0/24,其它的則需要.
*************************************************************************
而PC2要連接RouterA與PC1 ,因連接192.168.1.0/24無需srcnat偽裝.
加上PC2沒有要求封包從RouterA的wan送至網際網路,所以srcnat可以說完全沒新增的必要.

若說唯一偽裝的理由,即172.19.0.2與172.19.0.1這兩個IP不srcnat偽裝連接不到.
那您也只需dst-address=172.19.0.0/30加進RouterB的srcnat偽裝,
讓來自RouterB wan接口的連線,或是PC2能連接這兩個IP.

就這樣

jeremy9678
個人積分：67分
文章編號：61096692

67分

4939樓

2016-07-28 0:55

gfx大
請教你一下!我買了小米盒子想把它連線透過新加坡VPN連線大陸
我做了maggie有流量,但是我在NAT上面這樣設定都沒有流量不知會是甚麼問題呢??

maggie部份

NAT沒有流量部分

gfx

gfx
個人積分：1603分
文章編號：61096789

1603分

4940樓

2016-07-28 1:07

jeremy9678 wrote:
gfx大請教你一下...(恕刪)

因為你mangle action設錯了嘛

改變路由是new-routing-mark ,不是new-connection-mark.

860

X

X