RouterOS 架設VPN mangle路由問題

大家好

想請教各位先進
最近遇到一個棘手的問題

網路環境特殊
有兩間公司的設備
分別需要接到該公司的路由器上
以原先廠商裝設的環境如下圖

RouterOS 架設VPN mangle路由問題

因為兩台路由器是廠商的
我們無法更改設定也無法更改IP等設定
但目前有把設備移至他處使用的需求
故用兩台RG750Gr3架設VPN環境

RouterOS 架設VPN mangle路由問題

Server端有三個對外出口
分別是中華電信的網路
以及兩家廠商的設備專用網路 (皆有連上網際網路)
用RG750Gr3設定好VPN Server並且設定好三個WAN

Client端用一台RG750Gr3設定好可連線到Server端
底下各有數台A、B公司的設備
目前的作法是在Client端設定好mangle
把A公司與B公司的IP各自mark routing

再到Server端設定好路由
將各自的routing-mark指向兩台gateway

但是routing-mark似乎無法跨越VPN
導致最後流量都走預設路由出去無法連線
想請問有無好方法可以解決這個問題呢?

謝謝各位
2018-06-29 1:14 發佈
樂 ids93216 wrote:
大家好想請教各位先進...(恕刪)
原理沒問題。防火墻幾端口是否開啟?
PPTP 是點對點 VPN
所以要做成 LAN to LAN 要在NAT內設MASQUERADE

底下是linux iptables 語法,使用上觀念是一樣的
http://pptpclient.sourceforge.net/routing.phtml#lan-to-lan
看起來像是刷卡機應用。

你防火牆開了嗎。

你mangle只有在client做嗎?

server有嗎

suixinerfei wrote:
原理沒問題。防火墻幾...(恕刪)

該開啟的有開啟
也確定可以在server端指定出口

seiws wrote:
PPTP 是點對點 ...(恕刪)

NAT有設定masquerade

也確定可以透過改路由的方式把全部流量指定從哪個出口連外
不過卡在mangle要指定client的特定IP無法指定出口

tppr3695a wrote:
看起來像是刷卡機應用...(恕刪)

不是刷卡機 是營業用的設備

防火牆有開
可以從server端ping到client端的機器

client端有設定好mark routing
server端有設定好Routing Mark走的閘道

若直接在把設備接在server端的RB上
並且設定好mark routing 是確定可行的
不過一樣的方式接到client端就無法運作

目前懷疑是client端過了一次NAT後
routing mark沒有跟著過去
樂 ids93216 wrote:
該開啟的有開啟也確...(恕刪)


請問Add Default Route是否有打勾,如果有選的話,會造成無法控制預設路由出去的位置
很簡單的架構,根本用不到策略路由.做法如下:

1.A地與B地先備份,以備緊急救援.然後兩地都還原到最基礎的網路環境.

2.
A地:到/interface bridge新增2個bridge ,分別是bridgeA 與bridgeB
(所以包含原有的bridge1 ,新增後共有3個bridge)

B地:與A地做法相同,新增bridgeA與bridgeB

3.
A地:
到/interface eoip-tunnel新增2個eoip-tunnel撥號,內容如下:

註:
remote-address可輸入B地RG750Gr3的免費DDNS帳戶,以應付B地浮動IP變動

tunnelID可自訂喜歡的編號,
若eoip-tunnel1的tunnelID=222 ;eoip-tunnel2的tunnelID一定得不同,如:333

B地:
做法同A地相同,新增2個eoip-tunnel ,但remote-address要改填A地的固定ip,
其它則都相同(記住A地用的2組tunnelID也要搬過來不能改).
完成後,聰明的你會發現一組tunnelID即一組VPN ,所以這次連線共建了2組VPN

4.
A地:
假設A公司的專門線路裝在eth2 ;B公司的專門線路裝在eth3
到/interface bridge port設置接口的綁定:
將eth2與eoip-tunnel1綁在birdge=bridgeA ; 將eth3與eoip-tunnel2綁在birdge=bridgeB

B地:
假設遠端A公司的專門線路轉稼至eth2 ;遠端B公司的專門線路想轉稼至eth3
到/interface bridge port先取消舊eth2與eth3與bridge=bridge1間的綁定.

改變綁定的方式,eth2與eth3的綁定與A地相同:
將eth2與eoip-tunnel1綁在birdge=bridgeA ; 將eth3與eoip-tunnel2綁在birdge=bridgeB

這樣就完成2公司專門線路的VPN橋接,簡單明了!!
mangle只限於本機,出了門口就無效了。

POS機?如果是的話,就算你設定好也是不能用喔~

tppr3695a wrote:
mangle只限於...(恕刪)
是啊,所以樓主應該用ethernet來橋接(layer2 ,7樓的教學);
想透過pptp採取ip路由(layer3)方式去連結,POS機arp驗證根本不可能會過.
評分
複製連結
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?
' + '