123
返回列表 發帖
yiucsw

Rank: 1
16# 跳轉到 »
發表於 2015-1-31 17:18 | 只看該作者
回復 8# gfx86674

我发现SSTP Dynamic interface 常常自动启动。所有的Firewall Rule 变得有问题。


想自动disable Dynamic, 不知道如何写Script,以下的script 有什么问题。在CLI 打find name="<sstp-hksstp>" 没有Return.
if ([/interface sstp-server get [find name="<sstp-hksstp>"] running]=true) \
do=(/interface sstp-server disable [find name="<sstp-hksstp>"])
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

yiucsw

Rank: 1
17#
發表於 2015-2-1 11:13 | 只看該作者
没法找到/interface sstp-server get XXX running 的 Status.最终是以下的Script。
每5分钟看到dynamic Interface, 便Remove 一次。static interface 便会连接。
/interface sstp-server remove [find name=<sstp-xxsstp>]

我猜主要原因是RB不Stable,太重的Workload 便会Reset一般分Resource。(BT 时发现)。Reset Resource 后SSTP 会连到Dynamic interface。所有要remove Dynamic interface.

TOP

gfx86674

Rank: 1
18#
發表於 2015-2-2 01:02 | 只看該作者
本帖最後由 gfx86674 於 2015-2-2 01:04 編輯
回復  gfx86674

我发现SSTP Dynamic interface 常常自动启动。所有的Firewall Rule 变得有问题。


想自 ...
yiucsw 發表於 2015-1-31 17:18

您這何需用到Script ?
會出現<sstp-hksstp> 代表遠端連進您本地的hksstp帳號 ,
您把hksstp帳號給關了遠端自然連不進來,自然不會有<sstp-hksstp>

另外srcipt的:if ()是判斷true 才會run do={}
像running的真/否 本身即true/false.
所以:if ([/interface sstp-server get [find name="<sstp-hksstp>"] running]=true) \
do=(/interface sstp-server disable [find name="<sstp-hksstp>"])
語法是正確的,但您可以省略 running]=true ,直接
:if ([/interface sstp-server get [find name="<sstp-hksstp>"] running]) \
do=(........)即可.

假如是希望running]=false
:if (![/interface sstp-server get [find name="<sstp-hksstp>"] running]) \
do=(........)
前面加個"!"就可以了

TOP

yiucsw

Rank: 1
19#
發表於 2015-2-2 08:55 | 只看該作者
回復 18# gfx86674

hksstp 是Static/Dynamic sstp 帐号。 不知道如何只删掉动态的帐号?

TOP

yiucsw

Rank: 1
20#
發表於 2015-2-2 08:58 | 只看該作者
:if ([/interface sstp-server get [find name="<sstp-hksstp>"] running]) \
do=(........)

好像 get 没有 Status 回来,如何了解Get 有没有Return?

TOP

gfx86674

Rank: 1
21#
發表於 2015-2-2 11:35 | 只看該作者
本帖最後由 gfx86674 於 2015-2-2 11:57 編輯
回復  gfx86674

hksstp 是Static/Dynamic sstp 帐号。 不知道如何只删掉动态的帐号? ...
yiucsw 發表於 2015-2-2 08:55

那有所謂的固定/浮動帳號?
出現<名稱>這是別人透過你開放的sstp帳號進入Route主機的,
只要你關閉帳號或變更密碼,對方進得了主機嗎?

TOP

yiucsw

Rank: 1
22#
發表於 2015-2-2 12:33 | 只看該作者
从以下的文本看到的。 静态/动态的 Interface 的用户名是一样的。都在PPP内设定的。我是 Site to Site 的 SSTP。 通过Server 的Interface 回到中国的Client。

http://wiki.mikrotik.com/wiki/Ma ... P#Site-to-Site_SSTP
SSTP Server
Sub-menu: /interface sstp-server
This sub-menu shows interfaces for each connected SSTP client.
An interface is created for each tunnel established to the given server. There are two types of interfaces in SSTP server's configuration
Static interfaces are added administratively if there is a need to reference the particular interface name (in firewall rules or elsewhere) created for the particular user.
Dynamic interfaces are added to this list automatically whenever a user is connected and its username does not match any existing static entry (or in case the entry is active already, as there can not be two separate tunnel interfaces referenced by the same name).
Dynamic interfaces appear when a user connects and disappear once the user disconnects, so it is impossible to reference the tunnel created for that use in router configuration (for example, in firewall), so if you need a persistent rules for that user, create a static entry for him/her. Otherwise it is safe to use dynamic configuration.

TOP

fems

Rank: 1
23#
發表於 2015-2-4 04:52 | 只看該作者
本帖最後由 fems 於 2015-2-4 04:54 編輯
我的想法比较简单。Load Balance 2 SSTP channel by address list。 要是一条SSTP 断开,用IP  route 的将另一个都route 到没有问题的SSTP tunnel?  ...
yiucsw 發表於 2015-1-26 23:56


简单点增加备份route就可以了,仅供参考:
http://forum.mikrotik.com/viewto ... p;hilit=PCC#p452395

TOP

czjlj

Rank: 1
24#
發表於 2015-2-9 10:37 | 只看該作者
请问楼主能放出脚本吗,这个是图片啊,非常感谢!

TOP

yiucsw

Rank: 1
25#
發表於 2015-2-9 17:22 | 只看該作者
回復 23# fems


    现在是将unblockIPlist 来分,现在想改Interface有问题是Route 的第二Interface。还有没有时间做。

TOP

yiucsw

Rank: 1
26#
發表於 2015-6-29 06:41 | 只看該作者
刚上多一条Broadband (中国电信)线。现在是一条中国移动宽带(ADSL)加一条中国电信(ADSL)。在RB如何Setup?
要是加了SSTP, 如何LoadBalance?

TOP

gfx86674

Rank: 1
27#
發表於 2015-6-29 10:35 | 只看該作者
本帖最後由 gfx86674 於 2015-6-29 10:42 編輯
刚上多一条Broadband (中国电信)线。现在是一条中国移动宽带(ADSL)加一条中国电信(ADSL)。在RB如何Set ...
yiucsw 發表於 2015-6-29 06:41

在設定之前您要思考中國移動寬帶 與中國電信 這兩個通道,
只允許一個從外面進入,還是兩個都開放?
如VPN連入,是開放中國移動寬帶 當入口;還是中國電信 ? 還是兩者皆可?

連接ADSL所設置PPPoE,算是PPP工具的一份子.
所以等於Router內有三個連線隧道,分別是 中國移動寬帶/中國電信/sstp
不曉得您做LoadBalance時 ,是只考慮 中國移動寬帶/中國電信 ;還是把sstp也納進去?

另外您有開放web-proxy給外地用戶使用嗎?
若沒開放,您只需做內部DHCP用戶的LoadBalance即可;

若有使用web-proxy ,則LoadBalance還必需考量Router ,
這樣web-proxy用戶連接時 ,Router才會做LoadBalance .

或許您會問為何LoadBalance需區分DHCP用戶與Router ??
這與路由判斷有關:


您從圖表中看到封包進入,從第一次路由判斷後被區分成路徑A 與路徑B.
DHCP用戶即路徑B ,Router即路徑A ...所以這兩個規劃是不同的.

平常用戶只需做路徑B即可看到LoadBalance的效果 ;

但使用web-proxy時,因為是Router先連接處理,再將封包轉送代理用戶.
所以這時您就必須思考除DHCP用戶外 ,路徑A (Router)是否也得做LoadBalance.
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

雯雯

Rank: 1
28#
發表於 2015-6-29 16:53 | 只看該作者
回復 26# yiucsw

中國移動好像沒有真IP吧? 但是中國移動出海較快.
Welcome to my TaoBao shop: http://mandymak520.taobao.com/

TOP

yiucsw

Rank: 1
29#
發表於 2015-6-29 17:35 | 只看該作者
回復 27# gfx86674

现在已有VPN,中国移动打入。有两个问题所有加中国电信宽带:1)DNS/HTTP - 中国移动Block太多DNS,HTTP 地址。2)不稳定,在本地都常常断线。

现在想
是中国电信有路由猫,分两条Network 到RB Router同TV Box。
是中国移动,PPOE连到RB。
SSTP 是打出。

TOP

yiucsw

Rank: 1
30#
發表於 2015-6-29 17:36 | 只看該作者
主要是 Load Balance SSTP。
同用中国电信的DNS
中国电信 是 12M, 中国移动是20M

TOP

123
返回列表