[VPN] 利用PPTP或L2TP建立Layer2隧道

gfx86674

ROS支援BCP(Bridge Control Protocol),
即在PPTP/L2TP/PPPoE介面上的橋接(OVPN和SSTP不支援).

BCP能取代EoIP隧道,提供另一種layer2界面,穿越nat透傳二層資料.

BCP需要在兩邊同時啟用才能工作(伺服器和用戶端):

1. Office1 配置:
   
2. /interface bridge add name=bridge-lan protocol-mode=rstp
   
3. /interface bridge port add bridge=bridge-lan interface=ether2
   
4. #bridge-lan是本範例Office1 Lan使用的bridge名稱
   
5. #ether2是本範例Office1 LAN的其中一個接口(其它的port也可以)
   
6. 
   
7. #Office1 LAN的地址為192.168.88.1/24
   
8. /ip address add address=192.168.88.1/24 interface=bridge-lan
   
9. 
   
10. #因只做layer2傳輸,不需local/remote-address,
    
11. #所以新建profile(bcp-bridging)做特殊操作,以便和一般pptp傳輸做區隔
    
12. /ppp profile add name=bcp-bridging bridge=bridge-lan use-encryption=yes
    
13. /ppp secret add profile=bcp-bridging name=abc password=123
    
14. 
    
15. #建議將pptp-server的mrru提升至1600,否則bcp可能丟失封包
    
16. /interface pptp-server server set enabled=yes mrru=1600

複製代碼

1. Office2 配置:
   
2. /interface bridge add name=bridge-bcp protocol-mode=rstp
   
3. /interface bridge port add bridge=bridge-bcp interface=ether5
   
4. #bridge-bcp是新增的bridge,目的是透過bcp將ether5橋接到server端
   
5. #ether5不屬於Lan,會因bcp橋接到server端
   
6. 
   
7. #指定bridge-bcp的地址為192.168.88.2/24
   
8. /ip address add address=192.168.88.2/24 interface=bridge-bcp
   
9. 
   
10. /ppp profile add name=bcp-bridging bridge=bridge-bcp use-encryption=yes
    
11. #profile與pptp-server雷同,方可回應橋接
    
12. 
    
13. /interface pptp-client add profile=bcp-bridging mrru=1600 connect-to=123.123.123.123 user=abc password=123　disabled=no
    
14. #對Office1(123.123.123.123)進行pptp撥號,mrru也設置相對應的1600

複製代碼

雖然EoIP在設置上明顯比BCP簡易的多,但EoIP需雙向互撥號對接,
對於ISP提供的地址是虛擬ip的用戶是有那麼一點不便...

而PPTP或L2TP只要單方的WAN可供接入就可建立Layer2隧道,
所以因時地選擇橋接工具是很重要的

另外OVPN也有其ethernet mode ,也可用於建立Layer2隧道.

角色

谢谢CHing的信息，有空我会把香港和大陆用你的方法连起来，看看效果。

不过我有个问题，CHing你的Script是从GUI过来？还是从新打入RouterOS里？

gfx86674

谢谢CHing的信息，有空我会把香港和大陆用你的方法连起来，看看效果。

不过我有个问题，CHing你的Script是 ...
角色 發表於 2018-2-9 09:05

在香港或其它國家用bcp可以,但對中國...pptp應該穿不過gfw

我秀出的是cli,可以直接貼在命令視窗完成匯入.
但用gui操作或許更簡單,基本上分4個部份:

1.建立一個bridge ,然後把您想要橋接的interface在bridge port設定好.
interface的MAC鍵入bridge的MAC位置.

2.這部份可以省缺,因範例是橋接兩地的Lan所以設定192.168.88.1/24 ,
把192.168.88.1當區網的gateway
若interface是用來橋接IPTV,地址根本用不到也無需新增.

3.複製/ppp profile裡系統預設的default-encryption ,唯一不同的即bridge要設置步驟1新增的網橋.
pptp-server的/ppp secret除需新增 帳/密 ,profile也需指定bcp專用的

4.重點不管是pptp-server或client的mrru都需指定為1600 ,而pptp-client的profile指定bcp專用的.
就如此,沒其它的了

yiucsw

SSTP/L2TP 支持BCP

gfx86674

您可以試試,若可以Site-to-Site就可省缺eoip的步驟直接進行layer2橋接

yiucsw

這裡有說明L2 Layer EOIP 同 BCP 的配置。SSTP over BCP 是支持的。
https://www.youtube.com/watch?v= ... ab_channel=MikroTik

配置好像簡單，但配置完如何用在翻 -- 牆？

角色

Thank CHing for sharing this link for connect sites using BCP protocol.

gfx86674

這裡有說明L2 Layer EOIP 同 BCP 的配置。SSTP over BCP 是支持的。
配置好像簡單，但配置完如何用在翻 - ...
yiucsw 發表於 2018-2-23 10:22

非常容易,我拿自身當例子.
住家(RouterA)網段是192.168.88.0/24 ;辦公室(RouterB)是192.168.1.0/24
使用eoip當layer2橋接工具,eoip在辦公室那邊已經與lan端橋接了.

所以在住家(RouterA)的eoip給個地址,就可以連接的到辦公室了(RouterB)
住家RouterA 新增:


但還不夠,還不算Site-to-Site ,還有辦公室(RouterB)的路由要新增.
辦公室RouterB 新增:


這樣我就可以在家連接RouterB與其他的電腦了.


若家裡的電腦(192.168.88.100)要使用辦公室網路翻牆怎麼做?
住家RouterA:
/ip route rule 新增:


/ip route 新增:

住家的nat不用新增任何東西,因為nat偽裝RouterB(辦公室)會代勞.

辦公室RouterB:
不需要再新增任何東西,您只要確定RouterB NAT偽裝src-address關閉就好.

若辦公室電腦(192.168.1.2)要透過RouterA(住家)翻牆,
基本上與上面192.168.88.100差不多,差別僅在於/ip route新增的策略...
gateway不是輸入192.168.88.1(RouterA) ,而是192.168.1.254(RouterA eoip的地址)

yiucsw

回復 8# gfx86674

謝謝。有理解多點。
想問問BCP？ 將兩個Bridge 加到SSTP後，變成BCP，然後如何處理？ 一樣要Route？

gfx86674

回復 9# yiucsw
用樓上方式來解釋:
bcp在server端(RouterB),會自動把<sstp-xxx>透過bridge與ethernet橋接.

在client端(RouterA)這邊如樓上做法,需把ether5設成192.168.1.254/24
然後在RouterB的路由表新增 dst-address=192.168.88.0/24 gateway=192.168.1.254
這樣192.168.88.0/24(RouterA) 才能與192.168.1.0/24(RouterB)互連.

若要翻牆,樓上已圖文並茂應改解釋的很清楚才是.

再強調一次,bcp在server(RouterB)這邊,
<sstp-xxx>是會主動會橋接辦公室Lan的,不是您手動做的.

若需要另一條layer2隧道 ,因上面site-to-site已完成,
您用192.168.88.1(RouterA)與192.168.1.1(RouterB)這兩個地址
當eoip-tunnel1的local-address與remote-address用,再把eoip與住家的Lan橋接在一起即可.

住家的ether5因bcp,所以接ether5的電腦是公司的區網及網路
公司的ether5手動橋接eoip-tunnel1後 ,接ether5的電腦是住家的區網及網路

yiucsw

想問問：
/interface bridge port add bridge=bridge_bcp interface=ether2
的ether2 是要連到BCR的Port？ 還是Master port？
那我是用ether5？wlan2?

gfx86674

深覺得先前1樓與10樓解釋容易造成您的誤會,感到抱歉
所以有再修正過內容請您再閱讀看是否有不周全的地方.

yiucsw

duplicated

yiucsw

主要，
1） ROS V6 以上是不能 VPN pool, 用了不能過DHCP
2） 在System log 加Debug，看到BCP open ，BCP在啟動。
下圖是 看看 如何知道 BCR 在運行 （http://rickfreyconsulting.com/wp ... ng-BCP-Tutorial.pdf）

yiucsw

CN#1 SSTP client 端：

Step 1) interface bridge add name=bridge-bcp protocol-mode=rstp


加了Bridge 有一個MAC address 不知道是什麼。
Step 2) interface bridge port add bridge=bridge-bcp interface=ether5

加了Port MAC address 改到Ether 5的MAC address

Step 3) interface bridge set bridge-bcp admin-mac=xx:xx:xx:xx:xx:xx

將Ether5的MAC address 拷貝到Admin-mac address.

Step 4) ip address add address=192.168.hk.2/24 interface=ether5


Step 4) /ppp profile add name=bcp-bridging bridge=bridge-bcp use-encryption=yes (沒有選encryption)


Step 5) interface pptp-client add profile=bcp-bridging mrru=1600 connect-to=my.hk.isp(ddns) user=abc password=123　disabled=no



SSTP 已連接。