[研究所] MikroTik RouterOS 學習 (持續更新) (第497頁)

NeverGiveUp!!!

NeverGiveUp!!!
個人積分：58分
文章編號：61151632

58分

4961樓

2016-08-02 2:08

這棟樓最近這幾篇文真的是超

的！

gfx wrote:
應該這麼說:您/ip...(恕刪)

Ｃｌｏｓｅｒ：世界在變，我隨之而變．我心則續於寧靜．　：）物質無法取代的快樂之大小便是真理！\ｍ/

dophone

dophone
個人積分：84分
文章編號：61155484

84分

4962樓

2016-08-02 12:30

gfx wrote:
您的方向錯了,您應該...(恕刪)

謝謝g大，這幾天有爬文試著去設定pcq.後來發現還是用動態讓它自行調整效果比較好，不然有時會爆ping或被踢出。至於限制使用者的我沒辦法在vpn server設定，我有在嚐試從routeros session內找規則看看是否可有效管理。

gfx

gfx
個人積分：1603分
文章編號：61156384

1603分

4963樓

2016-08-02 13:43

dophone wrote:
限制使用者的我沒辦法在vpn server設定

不能在vpn server設定人數的話,用router代管也可以喔.
若192.168.88.11 架的是pptp-server ,您只要要限制tcp port:1723連入的數量即可.
如範例:限制pptp-clients人數為100

/ip firewall filter
add action=drop chain=forward connection-limit=100,32 dst-address=192.168.88.11 \
dst-port=1723 in-interface=pppoe-out1 protocol=tcp

其中connection-limit=100,32
100代表連線限定數量 ,32則是遮罩,代表dst-address=192.168.88.11/32
當tcp-port:1723連線超過100時,多的會被firewall filter給drop(丟棄)

gfx

gfx
個人積分：1603分
文章編號：61156674

1603分

4964樓

2016-08-02 14:10

m814 wrote:
想請教！已在 ROS...(恕刪)

我覺的1比較好管理,因為每個vlan流量都顯示在interface上,一清二楚.
但缺點就設定時多了些過程,但也僅止建置上的繁雜,建置完後這些煩惱就煙消雲散了;

相對2,我覺得2才是正解.
但正解有時不一定是最佳方案,光管理這方面就遜色1很多.
但若是比節省資源,我深信2表現比1好.

就這樣

gfx

gfx
個人積分：1603分
文章編號：61156907

1603分

4965樓

2016-08-02 14:32

還記得這張圖嗎?

小弟曾在#4938樓Q6解釋:
Q6:封包從RouterB的WAN ,dstnat映射至192.168.1.1會如何 ?
Ans:若RouterB不做srcnat ,封包會只到RouterA停止無法返回.

若不選擇192.168.1.1 ,改dstnat映射至172.19.0.2會如何?
同192.168.1.1 ,封包一樣至RouterA停止無法返回.

所以從網際網路將封包映射至RouterA ,一定要先srcnat偽裝成172.19.0.1才行.
所以要RouterA管理從RouterB映射進來的封包幾乎不可能,因為ip全換成172.19.0.1了.
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
如今我想打自己槍,掌自己嘴...因為我找到方法克服了

因為只要在RouterA做好標記,並指定好返回路徑,即使RouterB不使用srcnat偽裝,
也可從RouterB的Wan連接RouterA並順利返回的.

實測:

小弟(111.249.134.80)從RouterB(118.163.112.166)登入,
然後去連結已做Site to Site的RouterA(192.168.2.1)

重點在於RouterB與RouterA都有顯示111.249.134.80(小弟的電腦ip) ,
而且狀態是established ,這樣RouterA就有能力管理小弟了

這一切都得感謝jeremy9678兄,在思考要如何指導標記時蹦出的靈感啊 100分

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：61157847

79分

4966樓

2016-08-02 15:54

請問若要在 OpenVPN 外再加一層 SSL 或 SSH (就 OpenVPN 要躲在裡面)，這個要怎弄。。。

SSL / SSH tunnel 在 Mikrotik 看不出來要怎麼做

最近在試 SSR (ShadowSocks RSS) 但硬體不是很穩定。主要是要把台灣上海兩地做 site to site VPN。現在是已有串起來，但想找個更穩定的方式。

gfx

gfx
個人積分：1603分
文章編號：61157982

1603分

4967樓

2016-08-02 16:04

chrisintaipei wrote:
請問若要在 OpenVPN...(恕刪)

借問您SSTP設置過嗎? 當初一堆人推,現在不知是否和過去表現一樣好...

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：61158090

79分

4968樓

2016-08-02 16:13

SSTP 可用

我昨天試著把 SSTP 躲在 SSR 內，發現速度很慢。測試後才發現沒躲在 SSR 內，SSTP 還是很慢。不知道是不是因為 MTU 沒弄好的關係（研究中）。矇著眼睛隨便抓個 1300 速度還是蠻慢的。

SSTP 一直可用，我一直把他當備用的線路，但昨天才發現怎會那麼慢。。。1M 不到。

若能找出問題來，我的首選其實會是 SSTP - 整個架構下來覺得單純很多。

gfx

gfx
個人積分：1603分
文章編號：61158632

1603分

4969樓

2016-08-02 17:01

chrisintaipei wrote:
SSTP 可用我昨...(恕刪)

若懷疑是MTU的問題,用這方式解看看:
兩地主機都匯入:
/ip firewall mangle
add action=change-mss chain=forward comment="Change MSS" log-prefix="" \
new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
add action=change-mss chain=output log-prefix="" new-mss=clamp-to-pmtu \
passthrough=yes protocol=tcp tcp-flags=syn

然後拉到mangle最上面置頂.
請一定要置頂,否則output這部份change mss會沒作用.

匯入完後您再測試連線,看sstp速率有沒有進展.

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：61159266

79分

4970樓

2016-08-02 17:58

試了幾次，不是很確定速度有沒差別。log 在 client 那端有蠻多的，但看不是很懂。。。

server 端的 log 沒有什麼東西。我是在 client 端跑 speedtest 測試。

log 內出縣的 len 60 這有什麼特別的意思嗎?

======

剛用 mturoute 調好了。速度還是慢慢的 LOL

然後測試了上海家 -> SSTP -> 上海辦公室 -> speedtest, 速度差不多與上海辦公室 -> SSTP -> 台灣一樣。怎看起來好像是 SSTP 的問題。。。