[研究所] MikroTik RouterOS 學習 (持續更新) (第680頁)

宅就是顧家

宅就是顧家
個人積分：116分
文章編號：72310808

116分

6791樓

2019-03-06 18:19

你的中華電信設備後頭接幾台設備

pppoe一共撥了幾組（如果有趕流行去裝mod 503這台看Netflix這個會佔用pppoe）

發生此狀態的頻率假如大約72小時一次那就是浮動ip重撥號大概4醬

gfx

gfx
個人積分：1603分
文章編號：72313983

1603分

6792樓

2019-03-06 23:18

billese10 wrote:
大大您好，我自己也...(恕刪)

開放對端整個ip比較好,只開放icmp我也覺得這方式不夠佳。

假設對端固定ip為：123.123.123.123

/ip firewall filter add action=accept chain=input src-address=123.123.123.123

對端是ddns，假設ddns地址為：abc1234.dyndns.org

/ip firewall address-list add list=ipsec address=abc1234.dyndns.org
/ip firewall filter add action=accept chain=input src-address-list=ipsec

lun0147

lun0147
個人積分：13分
文章編號：72319056

13分

6793樓

2019-03-07 12:07

宅就是顧家 wrote:
更新6.44目前發現l2tp...(恕刪)

我更新後也有遇到，韌體也一起更新重開後，恢復正常。

veyron0727

veyron0727
個人積分：0分
文章編號：72320303

0分

6794樓

2019-03-07 13:43

看了一下Log，還真得是差不多72小時一次
我自己孤陋寡聞了，不曉得浮動IP會重撥
感謝您不厭煩的回答

RickyHsu77

RickyHsu77
個人積分：1446分
文章編號：72321466

1446分

6795樓

2019-03-07 15:13

veyron0727 wrote:
看了一下Log，還...(恕刪)

我是設定強制每天凌晨三點重撥.

veyron0727

veyron0727
個人積分：0分
文章編號：72324581

0分

6796樓

2019-03-07 19:23

canerhsu wrote:
2019-03-07 15:13 by canerhsu
我是設定強制每天凌晨三點重撥.

這也是個好方法，避免被斷線的莫名其妙
請問是在Winbox設定嗎? 能否指導一下，謝謝

gfx

gfx
個人積分：1603分
文章編號：72325440

1603分

6797樓

2019-03-07 20:55

進入winbox
system-> scheduler 會開啟排程視窗，按"+"新增：

pppoe-out1是您目前使用的撥號名，若不是請更換成正確的。

billese10

billese10
個人積分：974分
文章編號：72326793

974分

6798樓

2019-03-07 23:05

gfx wrote:
開放對端整個ip比較好,只開放icmp我也覺得這方式不夠佳。

假設對端固定ip為：123.123.123.123
/ip firewall filter add action=accept chain=input src-address=123.123.123.123

對端是ddns，假設ddns地址為：abc1234.dyndns.org
/ip firewall address-list add list=ipsec address=abc1234.dyndns.org

/ip firewall filter add action=accept chain=input src-address-list=ipsec

大大您好，我輸入我實體IP , 無論在site tp site 環境還是4G環境一樣無法登入

(圖片IP有改過，那IP之前換成實體ip)

還有什麼方式site to site 輸入雙方 router os 內網IP 可以看到router os web winbox 登入呢?

nnn000

nnn000
個人積分：10分
文章編號：72327994

10分

6799樓

2019-03-08 1:36

想請問各位大大建立site to site VPN的問題
以下是我的設定

# SERVER SIDE
# model = RB750Gr3

/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=l2tp_pool ranges=10.0.10.0/24

/ppp profile
add change-tcp-mss=yes local-address=10.0.10.1 name=l2tp_profile \
remote-address=l2tp_pool use-encryption=yes

/ppp secret
add comment="for khome dial in" local-address=10.0.10.1 name=Home password=\
home@123 profile=l2tp_profile remote-address=10.0.10.2 routes=\
"192.168.30.0/24 10.0.10.2 1" service=l2tp
add name=QQ123 password=123 profile=l2tp_profile service=l2tp

/interface l2tp-server server
set default-profile=l2tp_profile enabled=yes ipsec-secret=test123 \
max-mru=1460 max-mtu=1460 use-ipsec=yes

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=\
aes-256-cbc,aes-192-cbc,aes-128-cbc,3des

/ip ipsec peer
add address=10.0.10.2/32 dpd-interval=disable-dpd enc-algorithm=\
aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=\
port-override passive=yes secret=test123
add address=0.0.0.0/0 dh-group=modp1024 enc-algorithm=\
aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=\
port-override passive=yes secret=test123

/ip ipsec policy
add dst-address=192.168.30.0/24 sa-dst-address=10.0.10.2 sa-src-address=\
10.0.10.1 src-address=192.168.88.0/24 tunnel=yes

/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.30.0/24 log=yes \
src-address=192.168.88.0/24

# CLIENT SIDE
# model = RB941-2nD

/ip pool
add name=dhcp ranges=192.168.30.10-192.168.30.254

/interface l2tp-client
add connect-to=Server外網IP disabled=no ipsec-secret=test123 name=\
l2tp-out1 password=home@123 use-ipsec=yes user=Home

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=\
aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
/ip ipsec peer
add address=10.0.10.1/32 dpd-interval=disable-dpd enc-algorithm=\
aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=\
port-override passive=yes secret=test123
/ip ipsec policy
add dst-address=192.168.88.0/24 sa-dst-address=10.0.10.1 sa-src-address=\
10.0.10.2 src-address=192.168.30.0/24 tunnel=yes

/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.88.0/24 log=yes \
src-address=192.168.30.0/24

其餘都是預設值

以上理論上應該已經建立site to site VPN了
但是卻好像沒有，問題如下

情況:
1.
在server(RB750Gr3) ping 192.168.30.1 --> OK
在server(RB750Gr3) ping 192.168.88.1 --> OK
在server(RB750Gr3) ping 10.0.10.1 -----> OK
在server(RB750Gr3) ping 10.0.10.2 -----> OK

2.在server區網內的電腦
192.168.88.2 ping 192.168.30.1 --> X
192.168.88.2 ping 192.168.88.1 --> OK
192.168.88.2 ping 10.0.10.1 -----> OK
192.168.88.2 ping 10.0.10.2 -----> OK

3.
在client(RB941-2nD) ping 192.168.30.1 --> OK
在client(RB941-2nD) ping 192.168.88.1 --> OK
在client(RB941-2nD) ping 10.0.10.1 -----> OK
在client(RB941-2nD) ping 10.0.10.2 -----> OK

4.在client區網內的電腦
192.168.30.2 ping 192.168.30.1 --> OK
192.168.30.2 ping 192.168.88.1 --> X
192.168.30.2 ping 10.0.10.1 -----> OK
192.168.30.2 ping 10.0.10.2 -----> OK

問題:為什麼在各自的區網內的裝置無法存取對方網內的裝置....?
是我哪邊沒設定好嗎?

billese10

billese10
個人積分：974分
文章編號：72333279

974分

6800樓

2019-03-08 13:27

nnn000 wrote:
想請問各位大大建立site...(恕刪)

本身Firewall icmp，ICMP 改成echo requst 就可以Ping到

但是Ping到會遇到我差不多情況是，雙方router 設備沒有辦法透過web winbox 登入

(目前還是卡在這裡，還在努力研究中)....