角色

你看到我乐视的policy route就可以。就是要认证走VPN，其他就从一般通道走。

yiucsw

回復 30# gfx86674


    RB Client (china 中国移动宽带) -> RB server (HK HKBN)。
    现在在中国。要连google.com youtube.com

角色

如果你这样，你都是用policy route，把所有traffic都通过HK的router走。

gfx86674

回復  gfx86674


    RB Client (china 中国移动宽带) -> RB server (HK HKBN)。
    现在在中国。要连go ...
yiucsw 發表於 2015-1-15 00:55

http://www.telecom-cafe.com/forum/viewthread.php?tid=6509&extra=page%3D1
這篇是透過l2tp-vpn 連進Japan網站 ,

所以您把前半的l2tp改成sstp ,JapanIPList改成!ChainIPList.
注意是!ChainIPList ,有"!" .
代表"非ChainIPList"內的網站都改用sstp-vpn連接 ,後面的Scripit則不必理會 ,即完成設定.

yiucsw

我大概手工跟以下的Step 敲了进去，可以连到香港。Google/Gmail都没有问题。
！！！在ppp 的 SSTP Client 我是用DDNS的网站，不是IP Address。 还能连上SSTP VPN！？
我猜MTU没有配置好。

RB - RB without certification 是最方便的SSTP VPN.

:local internal "192.168.88.0/24"

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=UnBlockIPList \
port=80,443,8080 new-routing-mark=through_vpn_hk passthrough=no \
protocol=tcp src-address-list=Internal-Nets disabled=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=hksstp_out1 disabled=no
/ip route
add distance=1 gateway=vpn_hk routing-mark=through_vpn_hk disabled=no \
scope=255
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,114.114.114.114
/ip firewall address-list
add list=Internal-Nets address=$internal comment="Internal-Nets"
add list=UnBlockIPList address=173.194.72.0/24
add list=UnBlockIPList address=173.194.127.0/24
add list=UnBlockIPList address=74.125.31.0/24
add list=UnBlockIPList address=59.24.3.0/24
add list=UnBlockIPList address=37.61.54.0/24
add list=UnBlockIPList address=202.39.235.0/24

gfx86674

我大概手工跟以下的Step 敲了进去，可以连到香港。Google/Gmail都没有问题。
！！！在ppp 的 SSTP Client  ...
yiucsw 發表於 2015-1-15 01:34

您的設定正確但些許畫蛇添足 ,紅線的可以不要
sstp mtu/mru設1400即可.

gfx86674

當做site to site時 ,Server的interface不是多出client嗎?
所以HK HKBN那也可以透過client改翻回china ,做法與 移動寬帶toHKBN一模一樣.

不過不需再用sstp連到china ,用已經連線的client當interface即可.

yiucsw

回復 36# gfx86674

贴图看不见。可以再贴吗？

yiucsw

回復 37# gfx86674

” 不過不需再用sstp連到china ,用已經連線的client當interface即可.“

   我是半桶水都没有。将不同的网站的Script/Step 拷贝的。下一步是从香港route 到中国的youku 等网站。
你是说在RB（HKBN) 加一个SSTP Client. 然后加用Policy Route, 将到中国的网站route到RB(中国移动宽带）？

#/interface sstp-client
#add add-default-route=no authentication=mschap2 certificate=none connect-to=$hostname:444 dial-on-demand=no disabled=no http-proxy=0.0.0.0:444 keepalive-timeout=10 max-mru=1500 max-mtu=1600 mrru=1600 \
#    name=sstp-server password=pass1 profile=default-encryption user=client1 verify-server-address-from-certificate=no verify-server-certificate=no

**** RB(HKBN) 不能Initiate SSTP, 因为RB(中国移动宽带）在中国移动宽带的Router后边。是假的Public IP.
**** PPTP 在RB(中国移动宽带）是不成的PPTP到DDNS domain 是被Block。

gfx86674

回復  gfx86674

” 不過不需再用sstp連到china ,用已經連線的client當interface即可.“

   我是半桶水 ...
yiucsw 發表於 2015-1-15 09:59

下載https://dl.dropboxusercontent.com/u/34743921/ChinaIPList.rsc
把檔案拉到winbox的files檔案夾 ,接著在New Terminial命令列裡輸入import ChinaIPList.rsc
等稍許系統匯入 ,之後您即刻可使用ChinaIPList 清單了.

紅框點選時會出現"!"
空的時後代表使用ChinaIPList ,不過當"!"則代表排除ChinaIPList...看您怎麼活用它!!

gfx86674

當Client連到Server時 ,Server不是有顯示通知嗎?


所以HKBN那不需要再用SSTP連回中國移動 ,
Server可以直接利用這個新interface ,往Client反向傳輸回去.
這樣中國移動那邊的RouterOS主機就可設定 ,非ChinaIPList的連線都透過HKBN瀏覽;
而HKBN那邊的RouterOS主機只要是符合ChinaIPList ,都改轉往中國移動瀏覽.

也就是Site to Site只需一端連到Server ,
之後兩方透過設定即可完成雙向傳輸 ,而非僅只於單向.

yiucsw

要Userid + password。

https://dl.dropboxusercontent.com/u/34743921/ChinaIPList.rsc

gfx86674

回復 42# yiucsw
奇怪 ,我可以使用的說

yiucsw

刚重置路由器/upgrade 到6.24，改了本地的IP 192.168.88.1 -》 192.168.86.1。现在SSTP能建立，能在 Brower 上 连到Remote RB.
但不能连到youtube 等网站。要重新看看那里有问题。
在Log 看到 SSTP已经Connected。
在Local RB看到有traffic(out)，但没有回来(in) 的traffic。
在那里可以再进一步看看那里有问题?

gfx86674

回復 44# yiucsw
不曉得,打開http://www.vpngate.net/cn/
若是HK ,設定即正確不要再變更了 ;若是CN ,再檢驗那沒設好.