Board logo

標題: 香港用大陆IP看CCTV5和大陆用香港IP看myTV SUPER节目 [打印本頁]
作者: 角色    時間: 2018-1-30 22:13     標題: 香港用大陆IP看CCTV5和大陆用香港IP看myTV SUPER节目

本帖最後由 角色 於 2018-6-19 08:21 編輯

###############################

如果members有兴趣学些RouterOS,可以跟帖讨论,至于器材可以买便宜一点的MikroTik Routers也行

###############################
估计有很多members都会遇到这个情况,就是
1、在大陆要看香港新闻和myTV SUPER节目
2、在香港看大陆的电影和CCTV5

用手机或者电脑都可以做的上面的要求。怎样做?请大家看看下图:

[attach]3893[/attach]

整套思路

CN-to-HK 方向:
1、先建立一条HK-Gateway PPTP VPN link(或者其他VPN tunnel),从大陆PPTP VPN到香港的PPTP VPN Server。
2、大陆的router用policy route把大陆的devices(via wired or wireless)连到香港的VPN Sever, 那么这就完成大陆去香港这一段。

HK-to-CN 方向:
1、因为大陆的router的WAN口的内网IP,所以用上面的方法是不可行的。我们只好又从大陆PPTP过去香港,建立另外一条link,香港要去大陆的Packets就通过这条link到大陆的那边。当然也要通过policy route来进行。
作者: 角色    時間: 2018-1-30 22:14

本帖最後由 角色 於 2018-6-22 16:37 編輯

在EPC的帖子链接:
https://www.hkepc.com/forum/view ... &extra=page%3D1
已经给EPC某位版主搬到内部去,下载都看不到了,但是不要紧,主要的内容都在我脑子了。
作者: 角色    時間: 2018-1-30 22:14

备用帖子3
作者: 角色    時間: 2018-1-30 22:15

备用帖子4
作者: carlchan    時間: 2018-1-31 11:48

support !  
作者: blizzard2    時間: 2018-1-31 11:58

以前我用兩個asus router 駁 pptp。 然後每邊一個 RPi 行 softether,一個 server,一個 bridge。
電腦手機 set 唔同 ip/gateway 就會由唔同router 出街。

而家用老毛子行SS,好自動。兩個舊router就得。
作者: 角色    時間: 2018-1-31 14:49

回復 5# carlchan

谢谢支持!
作者: 角色    時間: 2018-1-31 14:51

以前我用兩個asus router 駁 pptp。 然後每邊一個 RPi 行 softether,一個 server,一個 bridge。
電腦手機 ...
blizzard2 發表於 2018-1-31 11:58


现在用了MikroTik的Routers和MikroTik的AP,很多东西都自动化。

我也有用SS,用v2ray。因为我出这个帖子,两边的人有不同的需要。
作者: 角色    時間: 2018-2-1 10:40

如果哪里Ching有兴趣,我会在这里慢慢跟你讲解,但是要跟帖讨论。
作者: 角色    時間: 2018-2-1 14:31

不知道members哪个方向要求多一点?

1、大陆去香港?
2、还有香港去大陆呢?
作者: passby    時間: 2018-2-1 14:52

香港去大陆. 不過大陸冇地方或朋友setup vpn!
作者: 角色    時間: 2018-2-1 15:20

香港去大陆. 不過大陸冇地方或朋友setup vpn!
passby 發表於 2018-2-1 14:52


这个是一个难题。但是听过有members在阿里云那里租用一些服务器,然后在那里安装CHR Routeros。

而现在我这个方案,我的亲友不一定VPN到大陆来,VPN到香港的Server,系统自动把traffic转到大陆去,效果也不错,能看到大陆CCTV5和电视剧。
作者: 角色    時間: 2018-2-10 00:35

以前我用兩個asus router 駁 pptp。 然後每邊一個 RPi 行 softether,一個 server,一個 bridge。
電腦手機 ...
blizzard2 發表於 2018-1-31 11:58


因为你两边都有Raspberry Pi,想做什么都可以。现在我都喜欢mod机,现在都不这样做了,主要都是用RouterOS为多。
作者: gfx86674    時間: 2018-2-10 13:29

本帖最後由 gfx86674 於 2018-2-20 15:01 編輯

假設:
ISP1與ISP2都有提供Public地址供遠端連接,並啟用cloud供VPN橋接
CN:192.168.100.254/24 / xxx1234.sn.mynetname.net
HK:192.168.200.254/24 / xxx5678.sn.mynetname.net

CN:
ether6-8:直接翻牆至Hong Kong
192.168.100.0/24連接CN外的地址,透過policy routing改由ISP2連接

192.168.100.201-192.168.100.250有連外國需求,
綁HK_DNS-Server,免除被DNS被污染風險.

HK:
ether6-8:直接翻牆至China
192.168.200.0/24連接是CN地址,透過policy routing改由ISP1連接

192.168.100.0/24 <=> 192.168.200.0/24 電腦群組彼此可互連
  1. #CN:
  2. /ip cloud
  3. set ddns-enabled=yes

  5. /interface eoip
  6. add allow-fast-path=no mac-address=02:F1:04:27:75:96 name=eoip-tunnel1 ipsec-secret=aaa tunnel-id=123 local-address=xxx1234.sn.mynetname.net remote-address=xxx5678.sn.mynetname.net

  8. /interface bridge
  9. add name=bridge1 vlan-filtering=no

  11. /interface bridge port
  12. add bridge=bridge1 interface=eoip-tunnel1
  13. add bridge=bridge1 interface=sfp1 pvid=100
  14. add bridge=bridge1 interface=ether2 pvid=100
  15. add bridge=bridge1 interface=ether3 pvid=100
  16. add bridge=bridge1 interface=ether4 pvid=100
  17. add bridge=bridge1 interface=ether5 pvid=100
  18. add bridge=bridge1 interface=ether6 pvid=200
  19. add bridge=bridge1 interface=ether7 pvid=200
  20. add bridge=bridge1 interface=ether8 pvid=200

  22. /interface bridge vlan
  23. add bridge=bridge1 tagged=eoip-tunnel1 untagged=sfp1,ether2,ether3,ether4,ether5 vlan-ids=100
  24. add bridge=bridge1 tagged=eoip-tunnel1,bridge1 untagged=ether6,ether7,ether8 vlan-ids=200

  26. /interface vlan
  27. add interface=bridge1 name=vlan200 vlan-id=200

  29. /ip address
  30. add address=192.168.100.254/24 interface=sfp1 network=192.168.100.0
  31. add address=192.168.200.1/24 interface=vlan200

  33. /interface bridge set bridge1 vlan-filtering=yes

  35. /ip firewall nat
  36. set [find action="masquerade"] out-interface=ether1 dst-address=!192.168.200.0/24 !src-address
  37. add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.100.201-192.168.100.250 to-addresses=192.168.200.254

  39. /ip firewall mangle
  40. add action=accept chain=prerouting dst-address=192.168.200.0/24
  41. add action=mark-routing chain=prerouting dst-address-type=!local dst-address-list=!cn new-routing-mark=vpn passthrough=no src-address=192.168.100.0/24

  43. /ip route
  44. add distance=1 gateway=192.168.200.254 routing-mark=vpn
複製代碼
  1. #HK:
  2. /ip cloud
  3. set ddns-enabled=yes

  5. /ip dns
  6. set allow-remote-requests=yes

  8. /interface eoip
  9. add allow-fast-path=no mac-address=02:F1:04:27:76:95 name=eoip-tunnel1 ipsec-secret=aaa tunnel-id=123 local-address=xxx5678.sn.mynetname.net remote-address=xxx1234.sn.mynetname.net

  11. /interface bridge
  12. add name=bridge1 vlan-filtering=no

  14. /interface bridge port
  15. add bridge=bridge1 interface=eoip-tunnel1
  16. add bridge=bridge1 interface=sfp1 pvid=200
  17. add bridge=bridge1 interface=ether2 pvid=200
  18. add bridge=bridge1 interface=ether3 pvid=200
  19. add bridge=bridge1 interface=ether4 pvid=200
  20. add bridge=bridge1 interface=ether5 pvid=200
  21. add bridge=bridge1 interface=ether6 pvid=100
  22. add bridge=bridge1 interface=ether7 pvid=100
  23. add bridge=bridge1 interface=ether8 pvid=100

  25. /interface bridge vlan
  26. add bridge=bridge1 tagged=eoip-tunnel1 untagged=sfp1,ether2,ether3,ether4,ether5 vlan-ids=200
  27. add bridge=bridge1 tagged=eoip-tunnel1 untagged=ether6,ether7,ether8 vlan-ids=100

  29. /ip address
  30. add address=192.168.200.254/24 interface=sfp1 network=192.168.200.0

  32. /interface bridge set bridge1 vlan-filtering=yes

  34. /ip firewall nat
  35. set [find action="masquerade"] out-interface=ether1 dst-address=!192.168.100.0/24 !src-address

  37. /ip firewall mangle
  38. add action=mark-routing chain=prerouting dst-address-list=cn new-routing-mark=vpn passthrough=no src-address=192.168.200.0/24

  40. /ip route
  41. add distance=1 gateway=192.168.200.1 dst-address=192.168.100.0/24
  42. add distance=1 gateway=192.168.200.1 routing-mark=vpn
複製代碼
作者: 角色    時間: 2018-2-10 14:26

谢谢CHing的Scripts.

有下面的问题:
“192.168.100.201-192.168.100.250有連外國需求,綁HK_DNS-Server,免除被DNS被污染風險.”

不知道大陆是否会把你的要去DNS Server IP转到她自己的,然后特别给你给resolve hostnames?
作者: passby    時間: 2018-2-10 16:46

但是現在深圳的isp大多都不給Public address的。我想應該IP cloud也不工作呢!有其他方法嗎?
作者: gfx86674    時間: 2018-2-10 17:14

谢谢CHing的Scripts.

有下面的问题:
“192.168.100.201-192.168.100.250有連外國需求,綁HK_DNS-Server,免 ...
角色 發表於 2018-2-10 14:26
不會,是在內網裡進行 gfw管不到...

會污染的都是經isp,被isp被感染 .
作者: gfx86674    時間: 2018-2-10 17:18

但是現在深圳的isp大多都不給Public address的。我想應該IP cloud也不工作呢!有其他方法嗎? ...
passby 發表於 2018-2-10 16:46

找一個可單向連接的vpn ,vpn連線後都會有local-address與remote-address.
把local-address與remote-address複製到eoip-tunnel ,即能建立layer2隧道.
作者: 角色    時間: 2018-2-10 17:20

回復 17# gfx86674

谢谢CHing的解析。

我开始明白,就是解开hostname的时候是通过PPP tunnel。而不是通过Tunnel以内。
作者: passby    時間: 2018-2-10 17:36

回復 18# gfx86674


謝謝你的答覆!
就用你提供的例子。如果只有HK router的ip cloud ddns。那我應該怎樣做?
作者: gfx86674    時間: 2018-2-10 18:24

本帖最後由 gfx86674 於 2018-2-10 18:27 編輯
回復  gfx86674
謝謝你的答覆!
就用你提供的例子。如果只有HK router的ip cloud ddns。那我應該怎樣做? ...
passby 發表於 2018-2-10 17:36

與18樓的答覆相同,您讓CN透過SSTP撥號HK cloud的地址.
連線成功不管是SSTP-Client或SSTP-Server都會顯示local-address或remote-address.

把SSTP-Client顯示的local-address與remote-address輸入CN Router的eoip-tunnel;
把SSTP-Server顯示的local-address與remote-address輸入HK Router的eoip-tunnel

RouterOS可穿越GFW的PPP-Tunnel大概只剩SSTP ,PPTP/L2TP/OVPN大概都穿不過.
IPSec的Road Warrior設置較麻煩些,但值得一試.
作者: passby    時間: 2018-2-10 18:35

回復 21# gfx86674


    例如我HK做VPN Server, CN做VPN client。當連接接後,我在HK的interface裏看到的callid就是CN的address?
作者: passby    時間: 2018-2-10 18:44

回復 21# gfx86674


    local-address與remote-address都是Private ip address也可以?
作者: gfx86674    時間: 2018-2-10 18:47

本帖最後由 gfx86674 於 2018-2-10 18:50 編輯

回復 23# passby
可以,在sstp-tunnel內再建立eoip-tunnel
選項ipsec要關閉(勾ipsec會強逼用public-address).
作者: carlchan    時間: 2018-2-10 21:27

回復  passby
可以,在sstp-tunnel內再建立eoip-tunnel
選項ipsec要關閉(勾ipsec會強逼用public-address). ...
gfx86674 發表於 2018-2-10 18:47



    勁 ching 出現!都想試試
作者: gfx86674    時間: 2018-2-10 23:27

本帖最後由 gfx86674 於 2018-2-10 23:52 編輯
回復  gfx86674
    例如我HK做VPN Server, CN做VPN client。當連接接後,我在HK的interface裏看到的cal ...
passby 發表於 2018-2-10 18:35

不要再質疑,我幫朋友設置:住家對公司使用l2tp-tunnel ,再用Private ip建置eoip-tunnel
從ros v5.x就已經開始這麼做了.
l2tp-client(Home)

l2tp-server(Office)

註:
使用eoip-tunnel記得開啟Keepalive ,否則Running並不是代表連線,而只是啟用而已.
唯有啟用Keepalive ,Running才代表eoip-tunnel兩端真的已連接上.
作者: passby    時間: 2018-2-11 08:10

回復 26# gfx86674


    多謝你的指導!
作者: yiucsw    時間: 2018-2-19 00:59

回復 14# gfx86674
我是分開兩個Bridge. 只用一個Ether5 在中國連到香港。改用VLAN有什麼好處?沒有用過VLAN。
看到還有Mangle/Route Tab VPN. 不是通過EOIP 以將兩地連結?你是在Bridge block DHCP request?
看到網上說EOIP over SSTP 加VLAN 太不effective? 其實可不可以VLAN over SSTP?
作者: yiucsw    時間: 2018-2-19 01:56

再看你的例子,VLAN能雙向。我用兩個Bridge 是單向的。 能否做一個VLAN over EOIP over SSTP例子? 中國的Ether5 是 直接連香港,香港的Ether5 直接連香港?可以將Wlan2 同eoip 連在一起?

我發現在香港PC用Telnet/SSH/winbox通過SSTP(VPN) 是不能連到中國的 Mikrotik。在香港的Mikrotik 內,tools-> telnet 是沒有問題,在PC上是不成的。嘗試加Route 不成功,有什麼問題?在香港PC上ping/tracert SSTP中國端IP也不成。
作者: gfx86674    時間: 2018-2-20 00:52

本帖最後由 gfx86674 於 2018-2-20 14:37 編輯
再看你的例子,VLAN能雙向。我用兩個Bridge 是單向的。 能否做一個VLAN over EOIP over SSTP例子? 中國的Et ...
yiucsw 發表於 2018-2-19 01:56

sstp連線用的是互聯網協議位址,屬layer3
與ethernet和eoip-tunnel的layer2是兩回事...您不能在ip mode(layer3)做更高位階(如:layer2)的行為

您說的sstp+eoip表現不佳,或許更正確的形容是sstp不好,而非eoip.
sstp經網友測試似乎有20M的瓶頸,沒法再達更高的數據
——————————————————————————————————————
RouterOS v6.41後bridge添加vlan新功能,才賣弄新技巧把vlan放入主題裡;
若是不用vlan,就如您所說的用2個bridge也不是不可,或許更容易配置.

範例:
只有HK提供Public地址供遠端連接,所以HK為sstp-server ,CN為sstp-client
CN:192.168.100.254/24 / private-address:10.200.0.53
HK:192.168.200.254/24 / public-address:123.123.123.123

CN:
ether5:直接翻牆至Hong Kong
192.168.100.0/24連接CN外的地址,透過policy routing改由ISP2連接

192.168.100.201-192.168.100.250有連外國需求,
綁HK_DNS-Server,免除被DNS被污染風險.

HK:
ether5:直接翻牆至China
192.168.200.0/24連接是CN地址,透過policy routing改由ISP1連接
192.168.100.0/24 <=> 192.168.200.0/24 電腦群組彼此可互連
  1. #CN:

  3. /interface sstp-client
  4. add authentication=pap certificate=cert connect-to=123.123.123.123:443 name=sstp-out1 password=123 user=123 verify-server-address-from-certificate=no

  6. /interface eoip
  7. add allow-fast-path=no name=eoip-hk tunnel-id=200 local-address=172.16.0.1 remote-address=172.16.0.0
  8. add allow-fast-path=no name=eoip-cn tunnel-id=100 local-address=172.16.0.1 remote-address=172.16.0.0

  10. /interface bridge
  11. add name=bridge-local
  12. add name=bridge-remote

  14. /interface bridge port
  15. add bridge=bridge-local interface=eoip-cn
  16. add bridge=bridge-local interface=ether2
  17. add bridge=bridge-local interface=ether3
  18. add bridge=bridge-local interface=ether4
  19. add bridge=bridge-remote interface=eoip-hk
  20. add bridge=bridge-remote interface=ether5

  22. /ip address
  23. add address=10.200.0.53/24 interface=ether1 network=10.200.0.0
  24. add address=192.168.100.254/24 interface=bridge-local network=192.168.100.0

  26. /ip route
  27. add distance=2 dst-address=192.168.200.0/24 gateway=172.16.0.0
  28. add distance=3 gateway=172.16.0.0 routing-mark=vpn
  29. add distance=5 gateway=ether1

  31. /ip firewall nat
  32. set [find action="masquerade"] out-interface=ether1 dst-address=!192.168.200.0/24
  33. add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.100.201-192.168.100.250 to-addresses=192.168.200.254

  35. /ip firewall mangle
  36. add action=accept chain=prerouting dst-address=192.168.200.0/24
  37. add action=mark-routing chain=prerouting dst-address-type=!local dst-address-list=!cn new-routing-mark=vpn passthrough=no src-address=192.168.100.0/24
複製代碼
  1. #HK:

  3. /interface sstp-server server
  4. set authentication=pap certificate=cert default-profile=default enabled=yes port=443

  6. /ppp secret
  7. add local-address=172.16.0.0 remote-address=172.16.0.1 name=123 password=123 routes="192.168.100.0/24 172.16.0.1 2" service=sstp

  9. /interface eoip
  10. add allow-fast-path=no name=eoip-cn tunnel-id=100 local-address=172.16.0.0 remote-address=172.16.0.1
  11. add allow-fast-path=no name=eoip-hk tunnel-id=200 local-address=172.16.0.0 remote-address=172.16.0.1

  13. /interface bridge
  14. add name=bridge-local
  15. add name=bridge-remote

  17. /interface bridge port
  18. add bridge=bridge-local interface=eoip-hk
  19. add bridge=bridge-local interface=ether2
  20. add bridge=bridge-local interface=ether3
  21. add bridge=bridge-local interface=ether4
  22. add bridge=bridge-remote interface=eoip-cn
  23. add bridge=bridge-remote interface=ether5

  25. /ip address
  26. add address=123.123.123.123/24 interface=ether1 network=123.123.123.0
  27. add address=192.168.200.254/24 interface=bridge-local network=192.168.200.0

  29. /ip route
  30. add distance=3 gateway=172.16.0.1 routing-mark=vpn
  31. add distance=5 gateway=ether1

  33. /ip firewall nat
  34. set [find action="masquerade"] out-interface=ether1 dst-address=!192.168.100.0/24

  36. /ip firewall mangle
  37. add action=mark-routing chain=prerouting dst-address-list=cn new-routing-mark=vpn passthrough=no src-address=192.168.200.0/24
複製代碼
作者: passby    時間: 2018-2-20 12:15

回復 30# gfx86674


    根據你說的,如果要求更高的數據就應該用你14樓的連線方法。但30樓的範例條件用14樓的連線應該怎麼做?
作者: gfx86674    時間: 2018-2-20 14:34

本帖最後由 gfx86674 於 2018-2-20 15:08 編輯
  1. #CN:

  3. /interface sstp-client
  4. add authentication=pap certificate=cert connect-to=123.123.123.123:443 name=sstp-out1 password=123 user=123 verify-server-address-from-certificate=no

  6. /interface eoip
  7. add allow-fast-path=no mac-address=02:F1:04:27:75:96 name=eoip-tunnel1 tunnel-id=123 local-address=172.16.0.1 remote-address=172.16.0.0

  9. /interface bridge
  10. add name=bridge1 vlan-filtering=no

  12. /interface bridge port
  13. add bridge=bridge1 interface=eoip-tunnel1
  14. add bridge=bridge1 interface=sfp1 pvid=100
  15. add bridge=bridge1 interface=ether2 pvid=100
  16. add bridge=bridge1 interface=ether3 pvid=100
  17. add bridge=bridge1 interface=ether4 pvid=100
  18. add bridge=bridge1 interface=ether5 pvid=100
  19. add bridge=bridge1 interface=ether6 pvid=200
  20. add bridge=bridge1 interface=ether7 pvid=200
  21. add bridge=bridge1 interface=ether8 pvid=200

  23. /interface bridge vlan
  24. add bridge=bridge1 tagged=eoip-tunnel1 untagged=sfp1,ether2,ether3,ether4,ether5 vlan-ids=100
  25. add bridge=bridge1 tagged=eoip-tunnel1 untagged=ether6,ether7,ether8 vlan-ids=200

  27. /ip address
  28. add address=192.168.100.254/24 interface=sfp1 network=192.168.100.0

  30. /interface bridge set bridge1 vlan-filtering=yes

  32. /ip firewall nat
  33. set [find action="masquerade"] out-interface=ether1 dst-address=!192.168.200.0/24 !src-address
  34. add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.100.201-192.168.100.250 to-addresses=172.16.0.0

  36. /ip firewall mangle
  37. add action=accept chain=prerouting dst-address=192.168.200.0/24
  38. add action=mark-routing chain=prerouting dst-address-type=!local dst-address-list=!cn new-routing-mark=vpn passthrough=no src-address=192.168.100.0/24

  40. /ip route
  41. add distance=2 dst-address=192.168.200.0/24 gateway=172.16.0.0
  42. add distance=3 gateway=172.16.0.1 routing-mark=vpn
  43. add distance=5 gateway=ether1
複製代碼
  1. #HK:

  3. /interface sstp-server server
  4. set authentication=pap certificate=cert default-profile=default enabled=yes port=443

  6. /ppp secret
  7. add local-address=172.16.0.0 remote-address=172.16.0.1 name=123 password=123  routes="192.168.100.0/24 172.16.0.1 2" service=sstp

  9. /interface eoip
  10. add allow-fast-path=no mac-address=02:F1:04:27:96:75 name=eoip-tunnel1 tunnel-id=123 local-address=172.16.0.0 remote-address=172.16.0.1

  12. /ip dns
  13. set allow-remote-requests=yes

  15. /interface bridge
  16. add name=bridge1 vlan-filtering=no

  18. /interface bridge port
  19. add bridge=bridge1 interface=eoip-tunnel1
  20. add bridge=bridge1 interface=sfp1 pvid=200
  21. add bridge=bridge1 interface=ether2 pvid=200
  22. add bridge=bridge1 interface=ether3 pvid=200
  23. add bridge=bridge1 interface=ether4 pvid=200
  24. add bridge=bridge1 interface=ether5 pvid=200
  25. add bridge=bridge1 interface=ether6 pvid=100
  26. add bridge=bridge1 interface=ether7 pvid=100
  27. add bridge=bridge1 interface=ether8 pvid=100

  29. /interface bridge vlan
  30. add bridge=bridge1 tagged=eoip-tunnel1 untagged=sfp1,ether2,ether3,ether4,ether5 vlan-ids=200
  31. add bridge=bridge1 tagged=eoip-tunnel1 untagged=ether6,ether7,ether8 vlan-ids=100

  33. /ip address
  34. add address=192.168.200.254/24 interface=sfp1 network=192.168.200.0

  36. /interface bridge set bridge1 vlan-filtering=yes

  38. /ip firewall nat
  39. set [find action="masquerade"] out-interface=ether1 dst-address=!192.168.100.0/24 !src-address

  41. /ip firewall mangle
  42. add action=mark-routing chain=prerouting dst-address-list=cn new-routing-mark=vpn passthrough=no src-address=192.168.200.0/24

  44. /ip route
  45. add distance=3 gateway=172.16.0.1 routing-mark=vpn
  46. add distance=5 gateway=ether1
複製代碼
作者: yiucsw    時間: 2018-2-20 16:53

回復 30# gfx86674

我在中國有兩個ISP(CN1,CN2)在不同地點,在香港也有兩個ISP(HK1,HK2)在不同的地點

現在是對應HK1-CN1,HK2-CN2. 用EOIP/SSTP 連,能否load balance eoip?
在哪裡加上WLan2 ?

我想簡化一下2個Bridge 加Wlan2

有點不明白,ip address,我看到DHCP 通常放在Bridge, 放在ether1 有什麼好處?
我沒有用Tag routing, 現在發現只能在香港Router 內telnet 到中國來改 CN router的設定。加了Tag routing,是不是能用Windows Box 直接連到中國的Router? 我加了Route 也不能Winbox 到CN2
  1. 1.        #CN:
  2. 2.       
  3. 3.        /interface sstp-client
  4. 4.        add authentication=pap certificate=cert connect-to=123.123.123.123:443 name=sstp-out1 password=123 user=123 verify-server-address-from-certificate=no
  5. 5.       
  6. 6.        /interface eoip
  7. 7.        add allow-fast-path=no name=eoip-hk tunnel-id=200 local-address=172.16.0.1 remote-address=172.16.0.0
  8. 8.        add allow-fast-path=no name=eoip-cn tunnel-id=100 local-address=172.16.0.1 remote-address=172.16.0.0
  9. 9.       
  10. 10.        /interface bridge
  11. 11.        add name=bridge-local
  12. 12.        add name=bridge-remote
  13. 13.       
  14. 14.        /interface bridge port
  15. 15.        add bridge=bridge-local interface=eoip-cn
  16. 16.        add bridge=bridge-local interface=ether2
  17. 17.        add bridge=bridge-local interface=ether3
  18. 18.        add bridge=bridge-local interface=ether4
  19. 19.        add bridge=bridge-remote interface=eoip-hk
  20. 20.        add bridge=bridge-remote interface=ether5
  21. 21    add bridge=bridge-remote interface=wlan2
複製代碼
  1. 1.        #HK:
  2. 2.       
  3. 3.        /interface sstp-server server
  4. 4.        set authentication=pap certificate=cert default-profile=default enabled=yes port=443
  5. 5.       
  6. 6.        /ppp secret
  7. 7.        add local-address=172.16.0.0 remote-address=172.16.0.1 name=123 password=123 routes="192.168.100.0/24 172.16.0.1 2" service=sstp
  8. 8.       
  9. 9.        /interface eoip
  10. 10.        add allow-fast-path=no name=eoip-cn tunnel-id=100 local-address=172.16.0.0 remote-address=172.16.0.1
  11. 11.        add allow-fast-path=no name=eoip-hk tunnel-id=200 local-address=172.16.0.0 remote-address=172.16.0.1
  12. 12.       
  13. 13.        /interface bridge
  14. 14.        add name=bridge-local
  15. 15.        add name=bridge-remote
  16. 16.       
  17. 17.        /interface bridge port
  18. 18.        add bridge=bridge-local interface=eoip-hk
  19. 19.        add bridge=bridge-local interface=ether2
  20. 20.        add bridge=bridge-local interface=ether3
  21. 21.        add bridge=bridge-local interface=ether4
  22. 22.        add bridge=bridge-remote interface=eoip-cn
  23. 23.        add bridge=bridge-remote interface=ether5
  24. 24.        add bridge=bridge-remote interface=wlan2
  25. ***** 不了解 address,以為是DHCP,哪DHCP 如何設定?DHCP relay?
  26. 25.        /ip address
  27. 26.        add address=123.123.123.123/24 interface=ether1 network=123.123.123.0
  28. 27.        add address=192.168.200.254/24 interface=bridge-local network=192.168.200.0
  29. 28.       
複製代碼
作者: gfx86674    時間: 2018-2-20 17:00

本帖最後由 gfx86674 於 2018-2-20 17:17 編輯
回復  gfx86674

我在中國有兩個ISP(CN1,CN2)在不同地點,在香港也有兩個ISP(HK1,HK2)在不同的地點
...
yiucsw 發表於 2018-2-20 16:53

是假設您是固定ip的用戶,ether1的地址是123.123.123.123
(123.123.123.123是公網地址,您可能誤會成虛擬的了)
(在/ip address宣告地址需加遮罩,所以才用123.123.123.123/24)

若您非是固定ip用戶,用的是dhcp-client或是pppoe撥號取得public-address,
有關ether1的描述是完全不需理會的.
作者: yiucsw    時間: 2018-2-20 18:52

還有是要加 MSS,我原本放到Wireless interface還是有問題,最後放在Bridge in-interfrace, 網站才能打開。  
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes \
protocol=tcp tcp-flags=syn
問問,VLAN 是不是會效能好點? hardware bridge?
作者: gfx86674    時間: 2018-2-20 20:19

本帖最後由 gfx86674 於 2018-2-20 22:00 編輯

change mss我習慣平日就掛著且放在最優先的位置,否則mtu衍生的問題真的一堆


hw-offloading只有對ethernet才有用 ,Wifi模組是分開的幫不到忙.
另外eoip-tunnel是虛擬的,切的valn也是...
就算勾上Hardware Offload也不會有任何作用.

使用bridge的vlan功能需開啟vlan-filtering,
但這會反而讓hw-offloading自動關閉,您應該沒想過這個問題吧!

或許依您原來的橋接方式,才是對你最有利的.

ps:
我用youtube搜尋到國外有趣的方式:
上述有提到開vlan-filtering會讓hw-offloading關閉對吧...

先用bridge將ethernet全橋接起來,
但vlan規劃不在bridge內設定而是像v6.41之前一樣用switch方式劃開,
或許hw-offloading就不會受影響.
作者: yiucsw    時間: 2018-2-21 11:16

回復 30# gfx86674
    以前試過這個雙EOIP理論上是可以,但實際是有問題。 我沒有找到原因。所有想看看VLAN 能解決沒有
    重置路由器,WLAN2 是拿不到DHCP的。以前是要在本地加DHCP server, 但不知道對不對。
    能有一個簡化板的例子嗎。不用Tag Route。
中國(WLAN2 + Ether5)連到香港 的Local Bridge..     
香港(WLAN2 + Ether5)連到中國 的Local Bridge..
能在香港Winbox連到中國的Mikrotik
作者: gfx86674    時間: 2018-2-21 11:43

回復  gfx86674
    以前試過這個雙EOIP理論上是可以,但實際是有問題。 我沒有找到原因。所有想看看VLAN  ...
yiucsw 發表於 2018-2-21 11:16

雙eoip是不會有任何問題的,在台灣我幫朋友eoip橋接到5組.
您可能共用相同的tunnel-id ,若是雙eoip那tunnel-id也要2組才行.
作者: yiucsw    時間: 2018-2-21 22:58

在香港網路內,要Winbox連到中國的Mikrotik,以前是Winbox "Windows SSTP 中國的地址"。重置後便不成,不知道哪裡錯誤。如何排錯?
作者: yiucsw    時間: 2018-2-23 11:19

回復 36# gfx86674

在YouTube 看到另一種改MSS 的方法,有沒有人試過?比起change mss 有什麼好處?
在VPN server 內enable multi-link PPP, 是改MRRU = 1600
Ethernet frame 1514, 改PPP 變成兩條PPP tunnel.. 哪不用Change MSS。

[attach]3961[/attach]
[attach]3962[/attach]
作者: gfx86674    時間: 2018-2-23 14:45

回復 40# yiucsw
MRRU的選項並非全部的VPN支援,只有PPTP/SSTP/L2TP Server有.
像GRE/IPIP/EOIP只能勾Change MSS的方式...

但像IPSec的VPN-Tunnel則就更慘了,連Change MSS都沒得勾...
只好手動新增Change MSS使用.
作者: kmc87    時間: 2018-4-4 16:10

我想從香港連到中國國內親友的router,借用他的IP,看國內的影視。

國內親友用的是中移動(私網IP),香港用HKBN(有公網IP)。

1. 為不影響國內朋友日常上網,我的想法是在國內router後,放一部 Asus AC68, 先pptp 連到香港的 Mikrotik RB750GR3 pptp vpn.

2. 然後再在香港 RB750GR3,利用上面建立的連線,在ether1 連到 TV Box 反向看國內的影視。

想請教 Ching,這方法可行嗎?如可行,Step 2 該怎樣設定 ? 有教學嗎 ?
作者: 角色    時間: 2018-6-19 08:19

回復 42# kmc87

你搞好没有?
作者: kmc87    時間: 2018-6-19 11:30

回復 43# 角色

連上了。不過兩邊都用 Mikrotik RB750GR3。 效果不錯的。謝謝你的提示。

不過現在用 SSTP。

不知何故,這兩個星期,PPTP 從國內連不上香港。
作者: 角色    時間: 2018-6-19 11:48

在EPC我最近写了不少的帖子,你也可以参考。但是某些原因,不再那里写,再回来这里写,这里有技术自由的空间,大家都可以随心写什么就什么,因为这里没有利益关系。
作者: 角色    時間: 2018-6-19 12:00

回復 44# kmc87

你说PPTP和SSTP的问题,我也知道SSTP是secruity比较高,但是有的时候PPTP能行,SSTP却不能。我最近几天的PPTP也不太好!不稳定。
作者: kmc87    時間: 2018-6-19 12:38

回復 46# 角色


我其實比較喜歡用 pptp,它比 SSTP 快,而我只是用來看電視盒,security 是不重要的。

用 SSTP, 只是 pptp 近來不能翻牆。 還有其它 vpn 可以用嗎?
作者: 角色    時間: 2018-6-19 14:17

回復  角色


我其實比較喜歡用 pptp,它比 SSTP 快,而我只是用來看電視盒,security 是不重要的。

用 S ...
kmc87 發表於 2018-6-19 12:38


我计划用两个V2Ray把两边连起来,估计效果应该不错。
作者: gfx86674    時間: 2018-6-19 16:47

回復  kmc87

你说PPTP和SSTP的问题,我也知道SSTP是secruity比较高,但是有的时候PPTP能行,SSTP却不能。 ...
角色 發表於 2018-6-19 12:00

可以用script判斷,若目前的vpn無法順利連線,就自動換另外一種...直到成功才停止
作者: kmc87    時間: 2018-6-19 18:15

回復 48# 角色


    如有進展請介紹一下。 是用routerOS 來做嗎 ?
作者: kmc87    時間: 2018-6-19 18:17

回復 49# gfx86674


    可以指導一下怎樣做嗎? 現在我是人工判斷的。
作者: 角色    時間: 2018-6-19 18:43

可以用script判斷,若目前的vpn無法順利連線,就自動換另外一種...直到成功才停止 ...
gfx86674 發表於 2018-6-19 16:47


如果两种都failed,那么我们怎样办?
作者: gfx86674    時間: 2018-6-19 22:42

本帖最後由 gfx86674 於 2018-6-19 22:43 編輯
回復  gfx86674


    可以指導一下怎樣做嗎? 現在我是人工判斷的。
kmc87 發表於 2018-6-19 18:17

您會用script的判斷語法嗎? 概念是:
:local sstp [/interface get sstp-client1 running]
:local pptp [/interface get pptp-client1 running]

#用OR閘判斷是否VPN已上線
:if ($sstp || $pptp) do={
   #OR閘是TRUE(VPN已上線)的情況,是sstp或pptp
   :if ($sstp) do={
       #是sstp的情況...
   } else={
       #是pptp的情況...
   }
} else={
   #OR閘是FALSE(VPN是離線)的情況
}
作者: kmc87    時間: 2018-6-20 08:10

您會用script的判斷語法嗎? 概念是:
:local sstp [/interface get sstp-client1 running]
:local pptp [/i ...
gfx86674 發表於 2018-6-19 22:42


謝謝你。

雖然我不熟識 script, 但你介紹概念我大概看懂。有空我會嘗試,學習一下。

我想,Router 是放在香港,VPN 是被動由內地router連入(因為內地只有私IP),其實如兩種 VPN 都接不入,就沒有什麼可以做了。

還有,這樣的 script 是不是應該每相隔一段時間,比如每一個小時,執行一次?
作者: 角色    時間: 2018-6-20 09:33

回復 54# kmc87

我写过逆向翻墙的帖子,在EPC,你可以从下面链接看:
http://www.telecom-cafe.com/foru ... amp;extra=#pid44162
作者: carlchan    時間: 2024-10-21 15:05

不要再質疑,我幫朋友設置:住家對公司使用l2tp-tunnel ,再用Private ip建置eoip-tunnel
從ros v5.x就已經開 ...
gfx86674 發表於 2018-2-10 23:27



    Any update after ros v7?
作者: Skypeus    時間: 2024-10-31 11:38

回復 56# carlchan


     简简单单的用SS也可以实现 两边用对端IP地址来互看对端的节目源。
作者: carlchan    時間: 2024-11-1 14:56

本帖最後由 carlchan 於 2024-11-1 14:58 編輯
回復  carlchan


     简简单单的用SS也可以实现 两边用对端IP地址来互看对端的节目源。 ...
Skypeus 發表於 2024-10-31 11:38



   
I follow this
https://www.right.com.cn/FORUM/thread-8231789-1-1.html

wireguard(VPS, ROS CHR) <> wireguard (RB5009)
only need to change the direct ... and now enjoy CCTV5+, and some others

and about the script;
I found the v6 script don't work on V7, most need to re-write ...



歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/) Powered by Discuz! 7.2