RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

小笨賢
個人積分：4269分
文章編號：75573787

4269分

樓主

2019-11-26 22:33

連結這篇是 Open VPN 設定

==================
這樣設定:
1. 在192.168.1.xx 網段 : 使用網址連線...無法連線(需要把網址改用 IP:192.168.1.2)(應該沒差)
2. 在192.168.88.xx 網段使用網址連線-正常
3. 在外部4G 連線正常
4. 從pppoe-out1 跟 ether1-IP ...應該都可以從外面使用Port連進來
===================
孔1: Wan 1: 固定制
孔2: Wan 2: 浮動制
以浮動制為優先上網用, 斷線才會換固定制...沒有設定DHCP+DNS
重置: 按著Reset不放..插電等到隔壁綠燈閃爍才放開
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

插入網路線(Lan2~Lan10) ...不能LAN1
電腦設定192.168.88.XX 網址打 192.168.88.1 ...不使用快速設定
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

設定密碼: (網頁才能用複製貼上..要複雜點)
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

先做安全設定 ( 設定內網才能進去) + 關閉不要的功能
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

設定兩孔為WAN
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

更改LAN2 為 WAN:
刪除網路2...留3~10
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

回到介面更改兩個孔的名稱..好辨認
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

先加入PPPoe

注意: 加入PPPOE時... 不要勾選加入預設路由
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

先把清空後再新增>> 新增從內部>對外的偽裝
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

選偽裝

新增路由順序 (PPPoe...設為1 優先)
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

新增固定IP 為第二
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

加入 WAN1 .. IP位址對應到孔1
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

加入固IP..的 GateWay
RouterOS 基本設定+雙WAN(1固定+1浮動)-MikroTik RB4011iGS+RM為例

加入Port對映

2019-11-26 22:33 發佈

文章關鍵字 RouterOS 基本設定+雙WAN RouterOS 設定雙WAN +1

gfx

gfx
個人積分：1603分
文章編號：75574358

1603分

2樓

2019-11-26 23:22

小笨賢 wrote:
孔1: Wan 1:...(恕刪)

痾...這非常不建議喔

若您有nas之類的，可以查登入用戶的ip歷史紀錄。
您查一次log就懂得我所指的缺失了。

小笨賢

小笨賢
個人積分：4269分
文章編號：75574782

4269分

樓主

2019-11-27 0:08

gfx wrote:
痾...這非常不建議...(恕刪)

我是新手

內網ip 全轉對外ip, 這樣會有問題嗎？
那請問要怎樣設定呢？

我知道了...
要輸入192.168.88.0/24，因為如果沒有設定，日後開放 Port 對外， IP 皆會顯示為 Gateway 的 IP 。

gfx

gfx
個人積分：1603分
文章編號：75575050

1603分

4樓

2019-11-27 0:50

小笨賢 wrote:
我是新手內網ip ...(恕刪)

nat有分src-nat與dst-nat。
src即來源，dst即目的。

masquerade從字面翻譯來說即"偽裝"
chan=srcnat 搭action=masquerade即：將來源的ip，透過nat偽裝成本地接口ip。

所以若來源是192.168.88.100這個ip，
因為接口是bridge1，透過nat偽裝會變成192.168.88.1。
所以到nas查連線ip，您會發現理應是192.168.88.100連nas，
怎麼nas紀錄都只有192.168.88.1(Router ip)？

同樣來源若是外部ip 114.123.1.1，
因為接口是pppoe-out1，所以透過nat偽裝會變成220.134.2.1(pppoe-out1的ip)
所以到nas查連線ip，您會發現陌生114.123.1.1連nas都查不到紀錄，
怎麼log只見到220.134.2.1的Router ip？

所以這個問題即胡亂的偽裝...
所有連線來源ip都變成router ip了，nas防火牆要怎判別？

所以要怎麼解決呢？即加個項目控制nat偽裝的範圍。
從來源地址或從目的地址控制皆可。

從來源控制：src-address=192.168.88.0/24
只有來源是本地內對外連線，才進行偽裝。
這樣就外部ip就不會在偽裝範圍內，連線nas的外部ip都會顯示真正的地址。

從目的控制：out-interface=pppoe-out1 或out-interface=Wan1
從接口pppoe-out1 或Wan1出去的才偽裝，
但不包含從這兩接口的進入(in-interface)的連線。
所以外部ip也不會被偽裝，連線nas的外部ip都會顯示真正的地址。

當然您也可以更嚴謹的方式限制偽裝，
src-address=192.168.88.0/24(來源)　與out-interface=pppoe-out1(目的)
兩種限制都加...

jeremy9678

jeremy9678
個人積分：67分
文章編號：75575156

67分

5樓

2019-11-27 1:08

小笨賢 wrote:
我是新手內網ip ...(恕刪)

gfx是算玩routeros前輩,我剛開始也是他帶領我的
有問題可以請教他,他玩routeros比我還長

目前mikrotik台灣用的人不多,我知道做網管都還沒看過

小笨賢

小笨賢
個人積分：4269分
文章編號：75575361

4269分

樓主

2019-11-27 2:10

gfx wrote:
nat有分src-nat...(恕刪)

謝謝啦!!
我改好的幫我看看這樣還有問題嗎??

小笨賢

小笨賢
個人積分：4269分
文章編號：75576869

4269分

樓主

2019-11-27 9:12

gfx wrote:
nat有分src-nat...(恕刪)

抱歉...剛剛發現您分兩條設定的話

NAT Loopback 的端口映射
Port 對應變得不行了!! 無法連線到SERVER
有變通法嗎??

gfx

gfx
個人積分：1603分
文章編號：75577342

1603分

8樓

2019-11-27 9:47

小笨賢 wrote:
抱歉...剛剛發現 ...(恕刪)

一樣是偽裝的問題。
nat loopback即內部連線繞到router，再繞回內部server。

所以再新增一筆nat偽裝即可。您可以選擇下面方式：
１.內部對內部網域時進行偽裝
action=masquerade chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.0/24
２.同方案1，只不過內部網域改用目的接口(interface)表示
action=masquerade chain=srcnat src-address=192.168.88.0/24 out-interface=bridge1
３.內部針對nas(192.168.88.50)才做偽裝
action=masquerade chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.50

小笨賢

小笨賢
個人積分：4269分
文章編號：75578100

4269分

樓主

2019-11-27 10:36

測試一下...

gfx

gfx
個人積分：1603分
文章編號：75578228

1603分

10樓

2019-11-27 10:44

新增固定IP 為第二