RouterOS 架設VPN mangle路由問題

樂 ids93216

樂 ids93216
個人積分：86分
文章編號：69116755

86分

樓主

2018-06-29 1:14

大家好

想請教各位先進
最近遇到一個棘手的問題

網路環境特殊
有兩間公司的設備
分別需要接到該公司的路由器上
以原先廠商裝設的環境如下圖

RouterOS 架設VPN mangle路由問題

因為兩台路由器是廠商的
我們無法更改設定也無法更改IP等設定
但目前有把設備移至他處使用的需求
故用兩台RG750Gr3架設VPN環境

RouterOS 架設VPN mangle路由問題

Server端有三個對外出口
分別是中華電信的網路
以及兩家廠商的設備專用網路 (皆有連上網際網路)
用RG750Gr3設定好VPN Server並且設定好三個WAN

Client端用一台RG750Gr3設定好可連線到Server端
底下各有數台A、B公司的設備
目前的作法是在Client端設定好mangle
把A公司與B公司的IP各自mark routing

再到Server端設定好路由
將各自的routing-mark指向兩台gateway

但是routing-mark似乎無法跨越VPN
導致最後流量都走預設路由出去無法連線
想請問有無好方法可以解決這個問題呢？

謝謝各位

2018-06-29 1:14 發佈

文章關鍵字 RouterOS VPN mangle 路由問題

suixinerfei

suixinerfei
個人積分：243分
文章編號：69117490

243分

2樓

2018-06-29 6:51

樂 ids93216 wrote:
大家好想請教各位先進...(恕刪)

原理沒問題。防火墻幾端口是否開啟？

seiws

seiws
個人積分：93分
文章編號：69123470

93分

3樓

2018-06-29 14:48

PPTP 是點對點 VPN
所以要做成 LAN to LAN 要在NAT內設MASQUERADE

底下是linux iptables 語法，使用上觀念是一樣的
http://pptpclient.sourceforge.net/routing.phtml#lan-to-lan

tppr3695a

tppr3695a
個人積分：120分
文章編號：69123860

120分

4樓

2018-06-29 15:18

看起來像是刷卡機應用。

你防火牆開了嗎。

你mangle只有在client做嗎？

server有嗎

樂 ids93216

樂 ids93216
個人積分：86分
文章編號：69125577

86分

樓主

2018-06-29 17:20

suixinerfei wrote:
原理沒問題。防火墻幾...(恕刪)

該開啟的有開啟
也確定可以在server端指定出口

seiws wrote:
PPTP 是點對點 ...(恕刪)

NAT有設定masquerade

也確定可以透過改路由的方式把全部流量指定從哪個出口連外
不過卡在mangle要指定client的特定IP無法指定出口

tppr3695a wrote:
看起來像是刷卡機應用...(恕刪)

不是刷卡機是營業用的設備

防火牆有開
可以從server端ping到client端的機器

client端有設定好mark routing
server端有設定好Routing Mark走的閘道

若直接在把設備接在server端的RB上
並且設定好mark routing 是確定可行的
不過一樣的方式接到client端就無法運作

目前懷疑是client端過了一次NAT後
routing mark沒有跟著過去

荷布

荷布
個人積分：62分
文章編號：69127407

62分

6樓

2018-06-29 20:37

樂 ids93216 wrote:
該開啟的有開啟也確...(恕刪)

請問Add Default Route是否有打勾，如果有選的話，會造成無法控制預設路由出去的位置

gfx

gfx
個人積分：1603分
文章編號：69128638

1603分

7樓

2018-06-29 22:59

很簡單的架構,根本用不到策略路由.做法如下:

1.A地與B地先備份,以備緊急救援.然後兩地都還原到最基礎的網路環境.

2.
A地:到/interface bridge新增2個bridge ,分別是bridgeA 與bridgeB
(所以包含原有的bridge1 ,新增後共有3個bridge)

B地:與A地做法相同,新增bridgeA與bridgeB

3.
A地:
到/interface eoip-tunnel新增2個eoip-tunnel撥號,內容如下:

註:
remote-address可輸入B地RG750Gr3的免費DDNS帳戶,以應付B地浮動IP變動

tunnelID可自訂喜歡的編號,
若eoip-tunnel1的tunnelID=222 ;eoip-tunnel2的tunnelID一定得不同,如:333

B地:
做法同A地相同,新增2個eoip-tunnel ,但remote-address要改填A地的固定ip,
其它則都相同(記住A地用的2組tunnelID也要搬過來不能改).
完成後,聰明的你會發現一組tunnelID即一組VPN ,所以這次連線共建了2組VPN

4.
A地:
假設A公司的專門線路裝在eth2 ;B公司的專門線路裝在eth3
到/interface bridge port設置接口的綁定:
將eth2與eoip-tunnel1綁在birdge=bridgeA ; 將eth3與eoip-tunnel2綁在birdge=bridgeB

B地:
假設遠端A公司的專門線路轉稼至eth2 ;遠端B公司的專門線路想轉稼至eth3
到/interface bridge port先取消舊eth2與eth3與bridge=bridge1間的綁定.

改變綁定的方式,eth2與eth3的綁定與A地相同:
將eth2與eoip-tunnel1綁在birdge=bridgeA ; 將eth3與eoip-tunnel2綁在birdge=bridgeB

這樣就完成2公司專門線路的VPN橋接,簡單明了!!

tppr3695a

tppr3695a
個人積分：120分
文章編號：69129364

120分

8樓

2018-06-30 0:29

mangle只限於本機，出了門口就無效了。

POS機？如果是的話，就算你設定好也是不能用喔～

gfx

gfx
個人積分：1603分
文章編號：69129602

1603分

9樓

2018-06-30 1:13

tppr3695a wrote:
mangle只限於...(恕刪)

是啊,所以樓主應該用ethernet來橋接(layer2 ,7樓的教學);
想透過pptp採取ip路由(layer3)方式去連結,POS機arp驗證根本不可能會過.