[研究所] MikroTik RouterOS 學習 (持續更新) (第561頁)

蝦米爸爸

蝦米爸爸
個人積分：1253分
文章編號：63445583

1253分

5601樓

2017-02-24 10:37

tsengleoo wrote:
大小也差太多XD...(恕刪)

以家用的觀點
(指放在家裡，不用帶出門)
hAP ac lite也算是體積小了

在用RouterOS之前
我都是買可以刷dd-wrt/tomato的機子
補一張把ASUS RT-N16也拿來一起疊的照片

daniel323

daniel323
個人積分：5分
文章編號：63478866

5分

5602樓

2017-02-27 23:19

請教各位大大，小弟的機器為RB450G，網路線路為兩條，一條是撥接pppoe，一條為固定制ip。
pppoe接機器的ETH1及EHT2 Port都可連線，但固定制IP接入ETH1 Port無法連線，接入ETH2 Port卻可以連線。
不知是ETH1接固定制IP是否有另外的設定方式，還是我的ETH1 Port掛了，但接pppoe連線卻又沒問題!

gfx

gfx
個人積分：1603分
文章編號：63480091

1603分

5603樓

2017-02-28 2:51

daniel323 wrote:
請教各位大大，小弟...(恕刪)

單純是設定上的技巧,需用到標記.沒經驗一定看不透原因.
若需要遠端協助可私信連絡小弟

wwweagle

wwweagle
個人積分：4分
文章編號：63490915

4分

5604樓

2017-03-01 9:57

請問openvpn的設定
照這一篇設定
http://blog-jerry.thesolarsystems.net/?p=870
電腦端顯示有連接(如下)，但是ROS中沒有顯示使用者連入？
請問我的設定哪裡有錯

gfx

gfx
個人積分：1603分
文章編號：63495809

1603分

5605樓

2017-03-01 16:36

wwweagle wrote:
請問openvpn...(恕刪)

小弟寫的ovpn教學:
http://www.telecom-cafe.com/forum/viewthread.php?tid=6511&extra=page%3D1
Ps:小弟share的憑證已過期無法使用,還請以您個人的憑證為主

wwweagle

wwweagle
個人積分：4分
文章編號：63501514

4分

5606樓

2017-03-02 8:03

我的PPTP已經設定好了
手機Android 5.1.1可連線，但是不能上網
電腦部分都沒問題，請問還需要什麼設定？

oxox

oxox
個人積分：2048分
文章編號：63502152

2048分

5607樓

2017-03-02 9:11

wwweagle wrote:
我的PPTP已經設...(恕刪)

我也有類似問題容許一起發問。

我依網路上的說明設定 IPSec VPN，設定完成之後新增帳號密碼。
但無法讓iPhone順利連接，看LOG是失敗的。
在RB750都沒異動的狀態，想到改用L2TP連接測試看看，就順利連上了...
目前已經可以在大陸透過L2TP 使用LINE了。
（原本有用其他設備架設 PPTP, OpenVPN 都已經不能用了）

有前輩可以分享 IPSec VPN的相關資訊供參考嗎？
還是我上面的作法沒錯？本來就是用手機的L2TP。

我參考的第一份資料是：「讓你的愛鳳 iPhone iOS 10 能在MikroTik上面跑 L2TP/IPSec」

ps.
設備是買台灣的，買來裡面已經有相關預設定了，我只是根據中文說明填入VPN帳號密碼。所以細節也通通不瞭解...
且上面的說明到一半就沒了，後面亂弄結果就出來了...
甚至我設定兩條固定IP一起使用，加入第三條PPPoE之後直接可用，也不知為啥....^^

wwweagle

wwweagle
個人積分：4分
文章編號：63504179

4分

5608樓

2017-03-02 11:45

今天看log紀錄，有很多怪怪的連線
用了以下防火牆規則，還是一樣？
網路上找的
新增以下防火牆條件，即可防止 RouterOS 的 SSH 被猜密碼！

/ip firewall filter
add chain=input protocol=tcp dst-port=21,22,23,8291 src-address-list=login_blacklist action=drop comment="drop login brute forcers 1" disabled=no
add chain=input protocol=tcp dst-port=21,22,23,8291 connection-state=new src-address-list=login_stage5 action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1d comment="drop login brute forcers 2" disabled=no
add chain=input protocol=tcp dst-port=21,22,23,8291 connection-state=new src-address-list=login_stage4 action=add-src-to-address-list address-list=login_stage5 address-list-timeout=1m comment="drop login brute forcers 3" disabled=no
add chain=input protocol=tcp dst-port=21,22,23,8291 connection-state=new src-address-list=login_stage3 action=add-src-to-address-list address-list=login_stage4 address-list-timeout=1m comment="drop login brute forcers 4" disabled=no
add chain=input protocol=tcp dst-port=21,22,23,8291 connection-state=new src-address-list=login_stage2 action=add-src-to-address-list address-list=login_stage3 address-list-timeout=1m comment="drop login brute forcers 5" disabled=no
add chain=input protocol=tcp dst-port=21,22,23,8291 connection-state=new src-address-list=login_stage1 action=add-src-to-address-list address-list=login_stage2 address-list-timeout=1m comment="drop login brute forcers 6" disabled=no
add chain=input protocol=tcp dst-port=21,22,23,8291 connection-state=new action=add-src-to-address-list address-list=login_stage1 address-list-timeout=1m comment="drop login brute forcers 7" disabled=no

tsengleoo

tsengleoo
個人積分：79分
文章編號：63510563

79分

5609樓

2017-03-02 21:31

直接在最上方阻擋目的port就好了吧?
連猜都不用猜，因為根本不能猜...

gfx

gfx
個人積分：1603分
文章編號：63510645

1603分

5610樓

2017-03-02 21:41

wwweagle wrote:
我的PPTP已經設定...(恕刪)

/ip dns

/ip pool

/ppp profile

/ppp secret

pptp:
/interface pptp-server

l2tp/ipsec:
/ip ipsec proposal

/interface l2tp-server

註1:
l2tp/ipsec server有個致命缺點即不允許同一個來源地址多個用戶同時連接.
如:同一分享器分享多個網路用戶

這些用戶再同時連接您的l2tp/ipsec伺服器,這是不允許的.
會讓後來的踢掉先前的連線用戶,也就是一個來源地址只允許一個用戶.

另外在區網內對wan進行l2tp/ipsec也是不允許的,
會造成系統核心崩潰,有可能讓router無預警重開機.

註2:
若用戶的profile設定成default ,系統會以vpn server的profile為準;
若用戶的profile設定成其它,即以用戶profile為準,不受vpn server的profile影響.