[研究所] MikroTik RouterOS 學習 (持續更新) (第617頁)

YAWPYNG
個人積分：618分
文章編號：67397438

618分

6161樓

2018-02-08 18:15

ck.tseng wrote:
各位先進大家好. ...(恕刪)

1.windows 內的sstp vpn必須要用網址連線，不可以用ip連。
2.你要有一個自己的domain.
3.用你的domain去網上買一個ssl證書。
4.接著用你買來的證書導入routeros裡面即可。

網上免費的證書很多，但是那都有時效性，時間到就要更新證書才行。
我是一次買個三年省得麻煩，況且也沒多少錢。

蝦米爸爸

蝦米爸爸
個人積分：1253分
文章編號：67397857

1253分

6162樓

2018-02-08 19:12

YAWPYNG wrote:
1.windows 內的sstp vpn必須要用網址連線，不可以用ip連。
2.你要有一個自己的domain.
3.用你的domain去網上買一個ssl證書。
4.接著用你買來的證書導入routeros裡面即可。

我的做法略有不同：
1. Yes
2. 申請一個DDNS，或用RouterOS內建的DDNS也行(IP -> Cloud)
3. 利用RouterOS的certificate自己做證書也行(System -> Certificate)
　 (自己簽發的證書就乾脆一口氣設個10年)
4. RouterOS自製的證書，要導入到Windows裡面(包括CA certificate)

https://wiki.mikrotik.com/wiki/Manual:Create_Certificates

Note: If you want to use server certificates for OVPN or SSTP and use client certificate verification, then CA certificate must be imported, too.

ck.tseng

ck.tseng
個人積分：15分
文章編號：67400277

15分

6163樓

2018-02-08 23:44

YAWPYNG wrote:
1.windows ...(恕刪)

蝦米爸爸 wrote:
我的做法略有不同：
1...(恕刪)

感謝兩位新進的指導，我來試試看，有好消息再來回報訊息。

gfx

gfx
個人積分：1603分
文章編號：67400822

1603分

6164樓

2018-02-09 1:04

ROS支援BCP(Bridge Control Protocol),
即在PPTP/L2TP/PPPoE介面上的橋接(OVPN和SSTP不支援).

BCP能取代EoIP隧道,提供網路另一種layer2界面,穿越nat透傳二層資料.

BCP需要在兩邊同時啟用才能工作(伺服器和用戶端):

Office1 配置:
/interface bridge add name=bridge_bcp protocol-mode=rstp
/interface bridge port add bridge=bridge_bcp interface=ether2
/interface bridge set bridge_bcp admin-mac=xx:xx:xx:xx:xx:xx
#ether2是本範例Office1 LAN的接口,而xx:xx:xx:xx:xx:xx是ether2的MAC地址

#指定Office1 LAN的地址為192.168.88.1/24
/ip address add address=192.168.88.1/24 interface=bridge_bcp

#因只做layer2傳輸,不需local/remote-address,
#所以新建profile(bcp-bridging)做特殊操作,以便和一般pptp傳輸做區隔
/ppp profile add name=bcp-bridging bridge=bridge_bcp use-encryption=yes
/ppp secret add profile=bcp-bridging name=abc password=123

#需將pptp-server的mrru提升至1600,否則bcp極可能丟失封包
/interface pptp-server server set enabled=yes mrru=1600

Office2 配置:
/interface bridge add name=bridge_bcp protocol-mode=rstp
/interface bridge port add bridge=bridge_bcp interface=ether2
/interface bridge set bridge_bcp admin-mac=xx:xx:xx:xx:xx:xx
#與pptp-server雷同

#指定Office2 LAN的地址為192.168.88.2/24
/ip address add address=192.168.88.2/24 interface=bridge_bcp

/ppp profile add name=bcp-bridging bridge=bridge_bcp use-encryption=yes
#profile與pptp-server雷同,方可回應橋接

/interface pptp-client add profile=bcp-bridging mrru=1600 connect-to=123.123.123.123 user=abc password=123　disabled=no
#對Office1(123.123.123.123)進行pptp撥號,mrru也設置相對應的1600

laurent5680

laurent5680
個人積分：3271分
文章編號：67401482

3271分

6165樓

2018-02-09 6:29

gfx wrote:
ROS支援BCP(Bridge Control Protocol),

感覺這個功能很強大
所以設定BCP就是兩邊在internet上面的ROS
變成像是在區網之內這樣嗎

gfx

gfx
個人積分：1603分
文章編號：67401524

1603分

6166樓

2018-02-09 6:47

laurent5680 wrote:
感覺這個功能很強大...(恕刪)

是的，透過pptp或l2tp把兩端橋接成一個Lan，就像接在同一台交換器上。
所以這環境只需設一邊的dhcp-server，看是要Office1或是Office2分發ip給兩地所有的電腦。

laurent5680

laurent5680
個人積分：3271分
文章編號：67402519

3271分

6167樓

2018-02-09 9:15

gfx wrote:
所以這環境只需設一邊的dhcp-server，看是要Office1或是Office2分發ip給兩地所有的電腦

這是真的很厲害了
我之前要弄這種vpn
找到了softether, n2n
可是這種都有server-client的架構
常常server斷掉整個vpn就沒效了
沒想到ROS直接解決這個問題
以後學生要在宿舍裡面連線打遊戲
就裝個ROS在上面互連就好了

ck.tseng

ck.tseng
個人積分：15分
文章編號：67404812

15分

6168樓

2018-02-09 11:44

蝦米爸爸 wrote:
我的做法略有不同：
1...(恕刪)

請教蝦米爸爸.

我依照網址上面的操作步驟產出憑證（https://wiki.mikrotik.com/wiki/Manual:Create_Certificates）
總共產出 myCa server client1 client2 四個憑證。

請問 1.以上憑證分別作用是不是 Server.crt 用於 Mikrotik sstp server 端， Client1.crt 用於 Windows sstp 第一個 client 端，Cient2.crt用於 Windows sstp 第二個 Client端。

2.我在設定好連結時，一直出現 0x800B0109 訊息，不知何處做錯。

還望蝦米爸爸撥空幫我解惑。

非常感謝

蝦米爸爸

蝦米爸爸
個人積分：1253分
文章編號：67405019

1253分

6169樓

2018-02-09 11:56

ck.tseng wrote:
1.以上憑證分別作用是不是 Server.crt 用於 Mikrotik sstp server 端， Client1.crt 用於 Windows sstp 第一個 client 端，Cient2.crt用於 Windows sstp 第二個 Client端。

不要讓SSTP Server驗證Client端憑證的話
(verify-client-certificate=no)
其實前兩個憑證(匯入到Windows)就夠了

ck.tseng wrote:
2.我在設定好連結時，一直出現 0x800B0109 訊息，不知何處做錯。

https://support.microsoft.com/zh-tw/kb/947031

上面的案例對照一下看看
Windows那邊一共要匯入兩個憑證
其中一個是[信任的根憑證授權]

這個問題就是自己做的憑證，簽發者不被信任
所以要把簽發者加入到Windows信任的名單裡面
因此要多做這一道動作

YAWPYNG

YAWPYNG
個人積分：618分
文章編號：67405398

618分

6170樓

2018-02-09 12:26

ck.tseng wrote:
2.我在設定好連結時，一直出現 0x800B0109 訊息，不知何處做錯。

花錢買憑證的另一個方便地方是可以省略掉這個問題.