[研究所] MikroTik RouterOS 學習 (持續更新) (第498頁)

gfx

gfx
個人積分：1603分
文章編號：61159632

1603分

4971樓

2016-08-02 18:40

chrisintaipei wrote:
試了幾次，不是很確...(恕刪)

小弟的log沒打開,您說的我就不清楚了.

change mss真的重要,尤其您當您route有許多通道,但您又不精通mtu計算時,
丟給Route自己去計算最佳mtu真的很方便啊.

mandymak

mandymak
個人積分：11分
文章編號：61159848

11分

4972樓

2016-08-02 19:09

chrisintaipei wrote:
試了幾次，不是很確...(恕刪)

我前兩天分別測了大陸<->香港SS和SSTP, SS明顯比SSTP快很好多倍.

我前陣子還測了同地區的SSTP (香港<->香港, 大陸<->大陸), 4端都是用ROS X86, 感覺ROS好像把SSTP的速度限制了在約20Mbps/s, 而CPU loading並不高.

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：61159980

79分

4973樓

2016-08-02 19:25

我 SSR 跑起來速度也很漂亮。只是不知道是硬體還是刷的固件的問題，放著一天就開始很不穩。 SSR 花了不少錢下去，所以還是會繼續試看看，但同時也在看還能有什麼其他方式。

中國連出去現在看起來這幾個方式比較適合:
1. ShadowSocks / ShadowSocks RSS
2. OpenVPN with Obfuscation (handshake 不會被偵測到)
3. OpenVPN through SSH or SSL (deep packet inspection 無法發現裡面是 OpenVPN. 其他 VPN 也許也能躲裡面)
4. OpenVPN with TLS pre shared key (這樣好像不用 handshake 所以躲的過)
5. SSTP

1+2 mikrotik 不能做
3. 聽說可
4. 應該可吧? ---2016 08 03 剛查到，不行
5. 確定可

mandymak

mandymak
個人積分：11分
文章編號：61160110

11分

4974樓

2016-08-02 19:40

chrisintaipei wrote:
我 SSR 跑起來...(恕刪)

還有OpenConnect VPN速度也很漂亮.

gfx

gfx
個人積分：1603分
文章編號：61160237

1603分

4975樓

2016-08-02 19:54

chrisintaipei wrote:
我 SSR 跑起來...(恕刪)

L2TP over IPsec在中國不知能不能用,會不會被擋?

dophone

dophone
個人積分：84分
文章編號：61161894

84分

4976樓

2016-08-02 22:35

gfx wrote:
不能在vpn server...(恕刪)

其實我有想過這方法，但是就今晚的觀察似乎有點不可行。
大多數都是透過1194埠號進來server，現在線上人數約160人，但是session內就近800個有些IP還連好多個根本無從判斷，傷腦筋~~

gfx

gfx
個人積分：1603分
文章編號：61162104

1603分

4977樓

2016-08-02 22:51

dophone wrote:
其實我有想過這方法...(恕刪)

會是firewall filter 定義來源或目的的方式錯了嗎? 不然不應該有這個問題.
不然您換個方式:

/ip firewall filter
add action=drop chain=forward connection-limit=100,32 src-address=192.168.88.11 \
src-port=1194 out-interface=pppoe-out1 protocol=tcp

這次再錯就沒道理了,邏輯應是正確的不應該行不通!!

另外有一點要弄清:您的vpn-server是在Router,還是在電腦主機上?
在電腦主機時,chain才會是forward ;

若是Router ,
若router為目地(dst),chain要設為input ;若router為來源(src),chain則要為output

千萬不要弄錯了!!

dophone

dophone
個人積分：84分
文章編號：61162343

84分

4978樓

2016-08-02 23:12

gfx wrote:
會是firewall...(恕刪)

VPN是架在電腦主機上面，而我尚未開始設定阻擋項目，只是先觀查Router上的session看有無什麼規則可循。照剛所po的圖我如用limit來限制來人數的話可能就要限制大一點，例如我只想要提供100人連線那limit應該要設定500左右，會有誤差但是沒辦法囉。

NeverGiveUp!!!

NeverGiveUp!!!
個人積分：58分
文章編號：61162849

58分

4979樓

2016-08-03 0:02

簡直是在看複習外加補充重點之篇章！ 100分

gfx wrote:
會是firewall...(恕刪)
另外有一點要弄清:您的vpn-server是在Router,還是在電腦主機上?
在電腦主機時,chain才會是forward ;

若是Router ,
若router為目地(dst),chain要設為input ;若router為來源(src),chain則要為output

紅色這幾行．真的蠻重要．從這幾行就能點出Chain與若是電腦主機及路由之間的對應正當性關係．

Ｃｌｏｓｅｒ：世界在變，我隨之而變．我心則續於寧靜．　：）物質無法取代的快樂之大小便是真理！\ｍ/

gfx

gfx
個人積分：1603分
文章編號：61162865

1603分

4980樓

2016-08-03 0:04

dophone wrote:
VPN是架在電腦主...(恕刪)

試匯入昨天所討論的,看是不是如小弟預期:
/ip firewall mangle
add action=mark-packet chain=postrouting connection-state=established \
src-address=192.168.88.11 src-port=1194 protocol=tcp \
passthrough=no new-packet-mark=vpn-server_upload

/queue type
add name="pcq_vpn-upload" kind=pcq pcq-rate=350k burst-rate=375k \
burst-threshold=200k burst-time=5s pcq-classifier=src-address

/queue tree
add name="VPN-Server-Upload" packet-mark=vpn-server_upload max-limit=35M \
parent=pppoe-out1 queue=default
add name="UPCQ-VPN-Server" packet-mark=vpn-server_upload \
parent=pppoe-out1 queue=pcq_vpn-upload