gfx wrote:
我想在ROS防火牆設...(恕刪)
做法很多, 基本上 from address=192.168.88.0/24, action=masquerade, 就達到你的目的了. 當然你在 firewall filter > from address=!192.168.88.0/24, action=drop 也行.
我有測試會有這樣的結果.
1.電腦對RB450G(192.168.88.1)做L2TP/IPSec ,連線OK..
但VPN斷線後會發生嚴重的問題,就好像ROS沒做PPPoE的NAT設置一樣.
電腦的網路會連不出去,除內網的電腦IP外,所有網址都Ping不到任何內容.
但只有做VPN連線的這台電腦才會被影響,其它電腦仍可正常上網.
此電腦重開機也沒用,要上網此電腦得再次連接VPN才行...
或者RB450G重開機才能真正解決此危機.
2.VPN Clinet換成手機/平板,一樣對RB450G做L2TP/IPSec連線,
連線正常,斷線同樣也不會發生如電腦整個網路停擺的情形.
3.L2TP/IPSec-Server由RB450G換成DSM(192.168.88.108).
VPN連線正常,但VPN斷線後電腦會與TEST1發生一模一樣的情況,
得將RB450G重開機才能解決問題.
4.將電腦換成手機/平板接續TEST3測試,連線OK,斷線後也不會有錯誤的情況發生.
5.不使用RB450G,將電腦與DSM都接在數據機P883上,P883開硬撥,
手機也使用P883內建Wifi.
電腦連接DSM L2TP/IPSec-Server ,連線正常.
VPN斷線後網路也一切正常,使用RB450G時的問題並沒發生在P883上.
6.VPN Clinet換成手機/平板,一如往常一樣正常並沒發生任何的情況.
-----------------------------------------
我一直在想TES1與3的錯誤是因RB450G ,還是電腦?
若是電腦,那TEST5也要跟著錯誤才對...
若是RB450G NAT的問題,那影響的為何只有開VPN Client的電腦,不包含區網的其他裝置?
但重開機RB450G又即解決錯誤的唯一方法,這..
更不能理解的是手機/平板至始至終都沒任何問題
這能有合理的解釋嗎?
gfx wrote:
請問您有使用過自己內...(恕刪)
一般說來內網不會對內網做VPN的測試。
做VPN測試都是WAN TO LAN。
我試的結果是會有0x800704D4的錯誤訊息。
irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!
derliang wrote:
一般說來內網不會對內...(恕刪)
若是用RB450G當VPN-Server試測L2TP/IPSec ,
VPN-Client目的名稱用RB450G Gateway就可以了.
若是拿DSM試測L2TP/IPSec ,由於Windows不允許透過NAT連接L2TP
要先對登錄檔與服務做修正,Windows才允許連接DSM L2TP-Server (目地名稱請用DSM IP)
http://www.mobile01.com/topicdetail.php?f=494&t=3520080&p=6
修正分兩個地方,分別在#53 與#55樓.
手機沒這個限制,直接用DSM_IP登錄Server即可.
最後結果不知會不會與我相同
補充:P883可以用WAN IP上DSM L2TP/IPSec-Server ;
但RB450G我不會設Hair-pin ,無法這麼做.
lv0361 wrote:
問題一:不知道註一的功能如何稱呼,如何設定。
Queue tree 那邊設。註一那個沒問題,但每個若都要設的很準很剛好%的話,應該要花不少時間去微調。
lv0361 wrote:
問題二:註二,應該是PQC的功能,只是不知如何選IP~IP的區域。
IP -> Firewall -> mangle (抓封包,抓到的上 packet mark。Queue tree 照 packet mark 來限制流量)
基本上,問題 1 + 2 要弄起來會要花不少時間。但弄起來後效果蠻不錯,花的時間很值得。
還有,queue tree 需要先用 mangle 標記封包,所以問題 1 + 2 其實是同時都要設才能運作。
lv0361 wrote:
問題三:不知可否這樣設定,有經驗的大大,請給小弟一個建議。
這個不熟,我沒這樣弄過。我猜應該是 simple queue 那邊。
lv0361 wrote:
小弟,想要問一下,q...(恕刪)
小弟的作法是只使用防火牆中的Mangle標記封包,搭配Queue tree使用。
但一定要先把要管控的服務先調查好,也要先確立QoS的政策,這樣設定才不會有問題。
以小弟來說,家裡環境比較單純。
NAS的各項服務都已經標記出來,其他不明的就打成P2P。
然後針對這些服務來做QoS頻寬的管控。
另外的筆電,平板與手機一律標記為VIP。
然後將VIP也納入管控,但VIP就不再細分他的連線種類為何。
以上只是根據小弟自己的環境,因地制宜的措施,所以不見得適合大家。
目前也發現這樣的做法有些不足之處。
例如VIP自己的各項服務重要性沒有區分,有時FTP會去影響網頁瀏覽。
所以小弟又特別把網頁瀏覽給區分出來。
再來如果VIP自己在P2P的時候,可能會去影響到網路連線。
所以只好又把ICMP給區分出來..
所以這樣見招拆招,最後整個架構就變成這樣,使用起來效果還可以。
irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!
內文搜尋
從 APP 打開
X