1234
返回列表 發帖
passby

Rank: 1
31# 跳轉到 »
發表於 2018-2-20 12:15 | 只看該作者
回復 30# gfx86674


    根據你說的,如果要求更高的數據就應該用你14樓的連線方法。但30樓的範例條件用14樓的連線應該怎麼做?

TOP

gfx86674

Rank: 1
32#
發表於 2018-2-20 14:34 | 只看該作者
本帖最後由 gfx86674 於 2018-2-20 15:08 編輯
  1. #CN:

  3. /interface sstp-client
  4. add authentication=pap certificate=cert connect-to=123.123.123.123:443 name=sstp-out1 password=123 user=123 verify-server-address-from-certificate=no

  6. /interface eoip
  7. add allow-fast-path=no mac-address=02:F1:04:27:75:96 name=eoip-tunnel1 tunnel-id=123 local-address=172.16.0.1 remote-address=172.16.0.0

  9. /interface bridge
  10. add name=bridge1 vlan-filtering=no

  12. /interface bridge port
  13. add bridge=bridge1 interface=eoip-tunnel1
  14. add bridge=bridge1 interface=sfp1 pvid=100
  15. add bridge=bridge1 interface=ether2 pvid=100
  16. add bridge=bridge1 interface=ether3 pvid=100
  17. add bridge=bridge1 interface=ether4 pvid=100
  18. add bridge=bridge1 interface=ether5 pvid=100
  19. add bridge=bridge1 interface=ether6 pvid=200
  20. add bridge=bridge1 interface=ether7 pvid=200
  21. add bridge=bridge1 interface=ether8 pvid=200

  23. /interface bridge vlan
  24. add bridge=bridge1 tagged=eoip-tunnel1 untagged=sfp1,ether2,ether3,ether4,ether5 vlan-ids=100
  25. add bridge=bridge1 tagged=eoip-tunnel1 untagged=ether6,ether7,ether8 vlan-ids=200

  27. /ip address
  28. add address=192.168.100.254/24 interface=sfp1 network=192.168.100.0

  30. /interface bridge set bridge1 vlan-filtering=yes

  32. /ip firewall nat
  33. set [find action="masquerade"] out-interface=ether1 dst-address=!192.168.200.0/24 !src-address
  34. add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.100.201-192.168.100.250 to-addresses=172.16.0.0

  36. /ip firewall mangle
  37. add action=accept chain=prerouting dst-address=192.168.200.0/24
  38. add action=mark-routing chain=prerouting dst-address-type=!local dst-address-list=!cn new-routing-mark=vpn passthrough=no src-address=192.168.100.0/24

  40. /ip route
  41. add distance=2 dst-address=192.168.200.0/24 gateway=172.16.0.0
  42. add distance=3 gateway=172.16.0.1 routing-mark=vpn
  43. add distance=5 gateway=ether1
複製代碼
  1. #HK:

  3. /interface sstp-server server
  4. set authentication=pap certificate=cert default-profile=default enabled=yes port=443

  6. /ppp secret
  7. add local-address=172.16.0.0 remote-address=172.16.0.1 name=123 password=123  routes="192.168.100.0/24 172.16.0.1 2" service=sstp

  9. /interface eoip
  10. add allow-fast-path=no mac-address=02:F1:04:27:96:75 name=eoip-tunnel1 tunnel-id=123 local-address=172.16.0.0 remote-address=172.16.0.1

  12. /ip dns
  13. set allow-remote-requests=yes

  15. /interface bridge
  16. add name=bridge1 vlan-filtering=no

  18. /interface bridge port
  19. add bridge=bridge1 interface=eoip-tunnel1
  20. add bridge=bridge1 interface=sfp1 pvid=200
  21. add bridge=bridge1 interface=ether2 pvid=200
  22. add bridge=bridge1 interface=ether3 pvid=200
  23. add bridge=bridge1 interface=ether4 pvid=200
  24. add bridge=bridge1 interface=ether5 pvid=200
  25. add bridge=bridge1 interface=ether6 pvid=100
  26. add bridge=bridge1 interface=ether7 pvid=100
  27. add bridge=bridge1 interface=ether8 pvid=100

  29. /interface bridge vlan
  30. add bridge=bridge1 tagged=eoip-tunnel1 untagged=sfp1,ether2,ether3,ether4,ether5 vlan-ids=200
  31. add bridge=bridge1 tagged=eoip-tunnel1 untagged=ether6,ether7,ether8 vlan-ids=100

  33. /ip address
  34. add address=192.168.200.254/24 interface=sfp1 network=192.168.200.0

  36. /interface bridge set bridge1 vlan-filtering=yes

  38. /ip firewall nat
  39. set [find action="masquerade"] out-interface=ether1 dst-address=!192.168.100.0/24 !src-address

  41. /ip firewall mangle
  42. add action=mark-routing chain=prerouting dst-address-list=cn new-routing-mark=vpn passthrough=no src-address=192.168.200.0/24

  44. /ip route
  45. add distance=3 gateway=172.16.0.1 routing-mark=vpn
  46. add distance=5 gateway=ether1
複製代碼

TOP

yiucsw

Rank: 1
33#
發表於 2018-2-20 16:53 | 只看該作者
回復 30# gfx86674

我在中國有兩個ISP(CN1,CN2)在不同地點,在香港也有兩個ISP(HK1,HK2)在不同的地點

現在是對應HK1-CN1,HK2-CN2. 用EOIP/SSTP 連,能否load balance eoip?
在哪裡加上WLan2 ?

我想簡化一下2個Bridge 加Wlan2

有點不明白,ip address,我看到DHCP 通常放在Bridge, 放在ether1 有什麼好處?
我沒有用Tag routing, 現在發現只能在香港Router 內telnet 到中國來改 CN router的設定。加了Tag routing,是不是能用Windows Box 直接連到中國的Router? 我加了Route 也不能Winbox 到CN2
  1. 1.        #CN:
  2. 2.       
  3. 3.        /interface sstp-client
  4. 4.        add authentication=pap certificate=cert connect-to=123.123.123.123:443 name=sstp-out1 password=123 user=123 verify-server-address-from-certificate=no
  5. 5.       
  6. 6.        /interface eoip
  7. 7.        add allow-fast-path=no name=eoip-hk tunnel-id=200 local-address=172.16.0.1 remote-address=172.16.0.0
  8. 8.        add allow-fast-path=no name=eoip-cn tunnel-id=100 local-address=172.16.0.1 remote-address=172.16.0.0
  9. 9.       
  10. 10.        /interface bridge
  11. 11.        add name=bridge-local
  12. 12.        add name=bridge-remote
  13. 13.       
  14. 14.        /interface bridge port
  15. 15.        add bridge=bridge-local interface=eoip-cn
  16. 16.        add bridge=bridge-local interface=ether2
  17. 17.        add bridge=bridge-local interface=ether3
  18. 18.        add bridge=bridge-local interface=ether4
  19. 19.        add bridge=bridge-remote interface=eoip-hk
  20. 20.        add bridge=bridge-remote interface=ether5
  21. 21    add bridge=bridge-remote interface=wlan2
複製代碼
  1. 1.        #HK:
  2. 2.       
  3. 3.        /interface sstp-server server
  4. 4.        set authentication=pap certificate=cert default-profile=default enabled=yes port=443
  5. 5.       
  6. 6.        /ppp secret
  7. 7.        add local-address=172.16.0.0 remote-address=172.16.0.1 name=123 password=123 routes="192.168.100.0/24 172.16.0.1 2" service=sstp
  8. 8.       
  9. 9.        /interface eoip
  10. 10.        add allow-fast-path=no name=eoip-cn tunnel-id=100 local-address=172.16.0.0 remote-address=172.16.0.1
  11. 11.        add allow-fast-path=no name=eoip-hk tunnel-id=200 local-address=172.16.0.0 remote-address=172.16.0.1
  12. 12.       
  13. 13.        /interface bridge
  14. 14.        add name=bridge-local
  15. 15.        add name=bridge-remote
  16. 16.       
  17. 17.        /interface bridge port
  18. 18.        add bridge=bridge-local interface=eoip-hk
  19. 19.        add bridge=bridge-local interface=ether2
  20. 20.        add bridge=bridge-local interface=ether3
  21. 21.        add bridge=bridge-local interface=ether4
  22. 22.        add bridge=bridge-remote interface=eoip-cn
  23. 23.        add bridge=bridge-remote interface=ether5
  24. 24.        add bridge=bridge-remote interface=wlan2
  25. ***** 不了解 address,以為是DHCP,哪DHCP 如何設定?DHCP relay?
  26. 25.        /ip address
  27. 26.        add address=123.123.123.123/24 interface=ether1 network=123.123.123.0
  28. 27.        add address=192.168.200.254/24 interface=bridge-local network=192.168.200.0
  29. 28.       
複製代碼

TOP

gfx86674

Rank: 1
34#
發表於 2018-2-20 17:00 | 只看該作者
本帖最後由 gfx86674 於 2018-2-20 17:17 編輯
回復  gfx86674

我在中國有兩個ISP(CN1,CN2)在不同地點,在香港也有兩個ISP(HK1,HK2)在不同的地點
...
yiucsw 發表於 2018-2-20 16:53

是假設您是固定ip的用戶,ether1的地址是123.123.123.123
(123.123.123.123是公網地址,您可能誤會成虛擬的了)
(在/ip address宣告地址需加遮罩,所以才用123.123.123.123/24)

若您非是固定ip用戶,用的是dhcp-client或是pppoe撥號取得public-address,
有關ether1的描述是完全不需理會的.

TOP

yiucsw

Rank: 1
35#
發表於 2018-2-20 18:52 | 只看該作者
還有是要加 MSS,我原本放到Wireless interface還是有問題,最後放在Bridge in-interfrace, 網站才能打開。  
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes \
protocol=tcp tcp-flags=syn
問問,VLAN 是不是會效能好點? hardware bridge?

TOP

gfx86674

Rank: 1
36#
發表於 2018-2-20 20:19 | 只看該作者
本帖最後由 gfx86674 於 2018-2-20 22:00 編輯

change mss我習慣平日就掛著且放在最優先的位置,否則mtu衍生的問題真的一堆


hw-offloading只有對ethernet才有用 ,Wifi模組是分開的幫不到忙.
另外eoip-tunnel是虛擬的,切的valn也是...
就算勾上Hardware Offload也不會有任何作用.

使用bridge的vlan功能需開啟vlan-filtering,
但這會反而讓hw-offloading自動關閉,您應該沒想過這個問題吧!

或許依您原來的橋接方式,才是對你最有利的.

ps:
我用youtube搜尋到國外有趣的方式:
上述有提到開vlan-filtering會讓hw-offloading關閉對吧...

先用bridge將ethernet全橋接起來,
但vlan規劃不在bridge內設定而是像v6.41之前一樣用switch方式劃開,
或許hw-offloading就不會受影響.

TOP

yiucsw

Rank: 1
37#
發表於 2018-2-21 11:16 | 只看該作者
回復 30# gfx86674
    以前試過這個雙EOIP理論上是可以,但實際是有問題。 我沒有找到原因。所有想看看VLAN 能解決沒有
    重置路由器,WLAN2 是拿不到DHCP的。以前是要在本地加DHCP server, 但不知道對不對。
    能有一個簡化板的例子嗎。不用Tag Route。
中國(WLAN2 + Ether5)連到香港 的Local Bridge..     
香港(WLAN2 + Ether5)連到中國 的Local Bridge..
能在香港Winbox連到中國的Mikrotik

TOP

gfx86674

Rank: 1
38#
發表於 2018-2-21 11:43 | 只看該作者
回復  gfx86674
    以前試過這個雙EOIP理論上是可以,但實際是有問題。 我沒有找到原因。所有想看看VLAN  ...
yiucsw 發表於 2018-2-21 11:16

雙eoip是不會有任何問題的,在台灣我幫朋友eoip橋接到5組.
您可能共用相同的tunnel-id ,若是雙eoip那tunnel-id也要2組才行.

TOP

yiucsw

Rank: 1
39#
發表於 2018-2-21 22:58 | 只看該作者
在香港網路內,要Winbox連到中國的Mikrotik,以前是Winbox "Windows SSTP 中國的地址"。重置後便不成,不知道哪裡錯誤。如何排錯?

TOP

yiucsw

Rank: 1
40#
發表於 2018-2-23 11:19 | 只看該作者
回復 36# gfx86674

在YouTube 看到另一種改MSS 的方法,有沒有人試過?比起change mss 有什麼好處?
在VPN server 內enable multi-link PPP, 是改MRRU = 1600
Ethernet frame 1514, 改PPP 變成兩條PPP tunnel.. 哪不用Change MSS。


附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

gfx86674

Rank: 1
41#
發表於 2018-2-23 14:45 | 只看該作者
回復 40# yiucsw
MRRU的選項並非全部的VPN支援,只有PPTP/SSTP/L2TP Server有.
像GRE/IPIP/EOIP只能勾Change MSS的方式...

但像IPSec的VPN-Tunnel則就更慘了,連Change MSS都沒得勾...
只好手動新增Change MSS使用.

TOP

kmc87

Rank: 1
42#
發表於 2018-4-4 16:10 | 只看該作者
我想從香港連到中國國內親友的router,借用他的IP,看國內的影視。

國內親友用的是中移動(私網IP),香港用HKBN(有公網IP)。

1. 為不影響國內朋友日常上網,我的想法是在國內router後,放一部 Asus AC68, 先pptp 連到香港的 Mikrotik RB750GR3 pptp vpn.

2. 然後再在香港 RB750GR3,利用上面建立的連線,在ether1 連到 TV Box 反向看國內的影視。

想請教 Ching,這方法可行嗎?如可行,Step 2 該怎樣設定 ? 有教學嗎 ?

TOP

角色

Rank: 2
43#
發表於 2018-6-19 08:19 | 只看該作者
回復 42# kmc87

你搞好没有?

TOP

kmc87

Rank: 1
44#
發表於 2018-6-19 11:30 | 只看該作者
回復 43# 角色

連上了。不過兩邊都用 Mikrotik RB750GR3。 效果不錯的。謝謝你的提示。

不過現在用 SSTP。

不知何故,這兩個星期,PPTP 從國內連不上香港。

TOP

角色

Rank: 2
45#
發表於 2018-6-19 11:48 | 只看該作者
在EPC我最近写了不少的帖子,你也可以参考。但是某些原因,不再那里写,再回来这里写,这里有技术自由的空间,大家都可以随心写什么就什么,因为这里没有利益关系。

TOP

1234
返回列表