Board logo

標題: MikroTik hAP ac² - 香港用WinBox逆方向login大陆private IP MikroTik router [打印本頁]
作者: 角色    時間: 2018-6-20 15:20     標題: MikroTik hAP ac² - 香港用WinBox逆方向login大陆private IP MikroTik router

香港用WinBox逆方向login大陆private IP MikroTik router

以前在大陆上网都是给你public IP,router就可以remote login,但是现在有IPv4的IP addresses短缺,所以很多ISP都是给你Private IP,那么在香港怎样remote login大陆的private IP MikroTik router呢?我们可以采用逆方向login,下面会具体set up:

在香港的MikroTik Router,你安装一个VPN server,让大陆的private IP router VPN client login香港的VPN server,有了这条link,就能把两边router连起来。在香港或者其他地方,用WinBox用不同的port number,用port forwarding and nat,通过那条VPN tunnel到达大陆的private IP的router。

大陆的Mikrotik Network是192.168.10.0/24, router IP 是192.168.10.1。

香港的MikroTik router installation part I:
Step 1: Enable PPTP VPN server
  1. /interface pptp-server server
  2. set enabled=yes
複製代碼
.

Step 2: Create PPTP VPN server for remote users to log in
  1. /ppp secret
  2. add local-address=192.168.86.2 name=rm-wb1 password=123 remote-address=\
  3.     192.168.86.254
複製代碼
到了这一步,大陆的MikroTik需要用PPTP login香港的router, 假如香港的full hostname:vpn.abc.org, user=rm-wb1, password=123

大陆MikroTik Router:
  1. /interface pptp-client
  2. add connect-to=vpn.abc.org disabled=no name=pptp-rm-wb password=123 user=\
  3.     rm-wb1
複製代碼
.

在香港的MikroTik router interface,你会看到<pptp-rm-wb1>。如果看到就继续香港router第二部分安装。

香港的MikroTik router installation part II:

Step 1: Port forward and nat
  1. /ip firewall nat
  2. add action=dst-nat chain=dstnat comment=MT-10 dst-port=8292 protocol=tcp \
  3.     to-addresses=192.168.10.1 to-ports=8291
  4. add action=masquerade chain=srcnat comment=MT-10 out-interface=<pptp-rm-wb1> \
  5.     protocol=tcp
複製代碼
.

Step 2: Static route
  1. /ip route
  2. add comment=MT-10 distance=1 dst-address=192.168.10.1/32 gateway=<pptp-rm-wb1>
複製代碼
我们可以同WinBox,输入vpn.abc.org:8292,就可以进入remote private IP MikroTik router里。

现在用pptp,你也可以用SSTP,方式都是一样的。

用上面的方法有一个问题,就是大陆的router VPN client到香港VPN server,因为某种原因会中断,那么firewall nat需要调整一下,ip route也是。这个问题最好是有一个script去自动修改。
作者: gfx86674    時間: 2018-7-1 13:29

修正您部份內容,設定不用這麼複雜!! 假設:
CN:192.168.20.0/24
HK:192.168.10.0.24

因CN是private IP,所以是CN(client)->HK(server)進行VPN撥號.

HK(server):
/ppp secret新增帳密時,就將routing新增進去




CN(client):
/ip route新增:


上述完成,HK的Router就能知道192.168.20.0/24是來自中國.
192.168.20.0/24就不必再透過NAT偽裝成VPN-Client地址(192.168.86.254)來進行翻牆.
也就是CN要透過HK翻牆,是不必設置NAT偽裝的(action=masquerade)



歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/) Powered by Discuz! 7.2