1234
返回列表 發帖
passby

Rank: 1
16# 跳轉到 »
發表於 2018-2-10 16:46 | 只看該作者
但是現在深圳的isp大多都不給Public address的。我想應該IP cloud也不工作呢!有其他方法嗎?

TOP

gfx86674

Rank: 1
17#
發表於 2018-2-10 17:14 | 只看該作者
谢谢CHing的Scripts.

有下面的问题:
“192.168.100.201-192.168.100.250有連外國需求,綁HK_DNS-Server,免 ...
角色 發表於 2018-2-10 14:26
不會,是在內網裡進行 gfw管不到...

會污染的都是經isp,被isp被感染 .

TOP

gfx86674

Rank: 1
18#
發表於 2018-2-10 17:18 | 只看該作者
但是現在深圳的isp大多都不給Public address的。我想應該IP cloud也不工作呢!有其他方法嗎? ...
passby 發表於 2018-2-10 16:46

找一個可單向連接的vpn ,vpn連線後都會有local-address與remote-address.
把local-address與remote-address複製到eoip-tunnel ,即能建立layer2隧道.

TOP

角色

Rank: 2
19#
發表於 2018-2-10 17:20 | 只看該作者
回復 17# gfx86674

谢谢CHing的解析。

我开始明白,就是解开hostname的时候是通过PPP tunnel。而不是通过Tunnel以内。

TOP

passby

Rank: 1
20#
發表於 2018-2-10 17:36 | 只看該作者
回復 18# gfx86674


謝謝你的答覆!
就用你提供的例子。如果只有HK router的ip cloud ddns。那我應該怎樣做?

TOP

gfx86674

Rank: 1
21#
發表於 2018-2-10 18:24 | 只看該作者
本帖最後由 gfx86674 於 2018-2-10 18:27 編輯
回復  gfx86674
謝謝你的答覆!
就用你提供的例子。如果只有HK router的ip cloud ddns。那我應該怎樣做? ...
passby 發表於 2018-2-10 17:36

與18樓的答覆相同,您讓CN透過SSTP撥號HK cloud的地址.
連線成功不管是SSTP-Client或SSTP-Server都會顯示local-address或remote-address.

把SSTP-Client顯示的local-address與remote-address輸入CN Router的eoip-tunnel;
把SSTP-Server顯示的local-address與remote-address輸入HK Router的eoip-tunnel

RouterOS可穿越GFW的PPP-Tunnel大概只剩SSTP ,PPTP/L2TP/OVPN大概都穿不過.
IPSec的Road Warrior設置較麻煩些,但值得一試.

TOP

passby

Rank: 1
22#
發表於 2018-2-10 18:35 | 只看該作者
回復 21# gfx86674


    例如我HK做VPN Server, CN做VPN client。當連接接後,我在HK的interface裏看到的callid就是CN的address?

TOP

passby

Rank: 1
23#
發表於 2018-2-10 18:44 | 只看該作者
回復 21# gfx86674


    local-address與remote-address都是Private ip address也可以?

TOP

gfx86674

Rank: 1
24#
發表於 2018-2-10 18:47 | 只看該作者
本帖最後由 gfx86674 於 2018-2-10 18:50 編輯

回復 23# passby
可以,在sstp-tunnel內再建立eoip-tunnel
選項ipsec要關閉(勾ipsec會強逼用public-address).

TOP

carlchan

Rank: 1
25#
發表於 2018-2-10 21:27 | 只看該作者
回復  passby
可以,在sstp-tunnel內再建立eoip-tunnel
選項ipsec要關閉(勾ipsec會強逼用public-address). ...
gfx86674 發表於 2018-2-10 18:47



    勁 ching 出現!都想試試

TOP

gfx86674

Rank: 1
26#
發表於 2018-2-10 23:27 | 只看該作者
本帖最後由 gfx86674 於 2018-2-10 23:52 編輯
回復  gfx86674
    例如我HK做VPN Server, CN做VPN client。當連接接後,我在HK的interface裏看到的cal ...
passby 發表於 2018-2-10 18:35

不要再質疑,我幫朋友設置:住家對公司使用l2tp-tunnel ,再用Private ip建置eoip-tunnel
從ros v5.x就已經開始這麼做了.
l2tp-client(Home)

l2tp-server(Office)

註:
使用eoip-tunnel記得開啟Keepalive ,否則Running並不是代表連線,而只是啟用而已.
唯有啟用Keepalive ,Running才代表eoip-tunnel兩端真的已連接上.

TOP

passby

Rank: 1
27#
發表於 2018-2-11 08:10 | 只看該作者
回復 26# gfx86674


    多謝你的指導!

TOP

yiucsw

Rank: 1
28#
發表於 2018-2-19 00:59 | 只看該作者
回復 14# gfx86674
我是分開兩個Bridge. 只用一個Ether5 在中國連到香港。改用VLAN有什麼好處?沒有用過VLAN。
看到還有Mangle/Route Tab VPN. 不是通過EOIP 以將兩地連結?你是在Bridge block DHCP request?
看到網上說EOIP over SSTP 加VLAN 太不effective? 其實可不可以VLAN over SSTP?

TOP

yiucsw

Rank: 1
29#
發表於 2018-2-19 01:56 | 只看該作者
再看你的例子,VLAN能雙向。我用兩個Bridge 是單向的。 能否做一個VLAN over EOIP over SSTP例子? 中國的Ether5 是 直接連香港,香港的Ether5 直接連香港?可以將Wlan2 同eoip 連在一起?

我發現在香港PC用Telnet/SSH/winbox通過SSTP(VPN) 是不能連到中國的 Mikrotik。在香港的Mikrotik 內,tools-> telnet 是沒有問題,在PC上是不成的。嘗試加Route 不成功,有什麼問題?在香港PC上ping/tracert SSTP中國端IP也不成。

TOP

gfx86674

Rank: 1
30#
發表於 2018-2-20 00:52 | 只看該作者
本帖最後由 gfx86674 於 2018-2-20 14:37 編輯
再看你的例子,VLAN能雙向。我用兩個Bridge 是單向的。 能否做一個VLAN over EOIP over SSTP例子? 中國的Et ...
yiucsw 發表於 2018-2-19 01:56

sstp連線用的是互聯網協議位址,屬layer3
與ethernet和eoip-tunnel的layer2是兩回事...您不能在ip mode(layer3)做更高位階(如:layer2)的行為

您說的sstp+eoip表現不佳,或許更正確的形容是sstp不好,而非eoip.
sstp經網友測試似乎有20M的瓶頸,沒法再達更高的數據
——————————————————————————————————————
RouterOS v6.41後bridge添加vlan新功能,才賣弄新技巧把vlan放入主題裡;
若是不用vlan,就如您所說的用2個bridge也不是不可,或許更容易配置.

範例:
只有HK提供Public地址供遠端連接,所以HK為sstp-server ,CN為sstp-client
CN:192.168.100.254/24 / private-address:10.200.0.53
HK:192.168.200.254/24 / public-address:123.123.123.123

CN:
ether5:直接翻牆至Hong Kong
192.168.100.0/24連接CN外的地址,透過policy routing改由ISP2連接

192.168.100.201-192.168.100.250有連外國需求,
綁HK_DNS-Server,免除被DNS被污染風險.

HK:
ether5:直接翻牆至China
192.168.200.0/24連接是CN地址,透過policy routing改由ISP1連接
192.168.100.0/24 <=> 192.168.200.0/24 電腦群組彼此可互連
  1. #CN:

  3. /interface sstp-client
  4. add authentication=pap certificate=cert connect-to=123.123.123.123:443 name=sstp-out1 password=123 user=123 verify-server-address-from-certificate=no

  6. /interface eoip
  7. add allow-fast-path=no name=eoip-hk tunnel-id=200 local-address=172.16.0.1 remote-address=172.16.0.0
  8. add allow-fast-path=no name=eoip-cn tunnel-id=100 local-address=172.16.0.1 remote-address=172.16.0.0

  10. /interface bridge
  11. add name=bridge-local
  12. add name=bridge-remote

  14. /interface bridge port
  15. add bridge=bridge-local interface=eoip-cn
  16. add bridge=bridge-local interface=ether2
  17. add bridge=bridge-local interface=ether3
  18. add bridge=bridge-local interface=ether4
  19. add bridge=bridge-remote interface=eoip-hk
  20. add bridge=bridge-remote interface=ether5

  22. /ip address
  23. add address=10.200.0.53/24 interface=ether1 network=10.200.0.0
  24. add address=192.168.100.254/24 interface=bridge-local network=192.168.100.0

  26. /ip route
  27. add distance=2 dst-address=192.168.200.0/24 gateway=172.16.0.0
  28. add distance=3 gateway=172.16.0.0 routing-mark=vpn
  29. add distance=5 gateway=ether1

  31. /ip firewall nat
  32. set [find action="masquerade"] out-interface=ether1 dst-address=!192.168.200.0/24
  33. add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.100.201-192.168.100.250 to-addresses=192.168.200.254

  35. /ip firewall mangle
  36. add action=accept chain=prerouting dst-address=192.168.200.0/24
  37. add action=mark-routing chain=prerouting dst-address-type=!local dst-address-list=!cn new-routing-mark=vpn passthrough=no src-address=192.168.100.0/24
複製代碼
  1. #HK:

  3. /interface sstp-server server
  4. set authentication=pap certificate=cert default-profile=default enabled=yes port=443

  6. /ppp secret
  7. add local-address=172.16.0.0 remote-address=172.16.0.1 name=123 password=123 routes="192.168.100.0/24 172.16.0.1 2" service=sstp

  9. /interface eoip
  10. add allow-fast-path=no name=eoip-cn tunnel-id=100 local-address=172.16.0.0 remote-address=172.16.0.1
  11. add allow-fast-path=no name=eoip-hk tunnel-id=200 local-address=172.16.0.0 remote-address=172.16.0.1

  13. /interface bridge
  14. add name=bridge-local
  15. add name=bridge-remote

  17. /interface bridge port
  18. add bridge=bridge-local interface=eoip-hk
  19. add bridge=bridge-local interface=ether2
  20. add bridge=bridge-local interface=ether3
  21. add bridge=bridge-local interface=ether4
  22. add bridge=bridge-remote interface=eoip-cn
  23. add bridge=bridge-remote interface=ether5

  25. /ip address
  26. add address=123.123.123.123/24 interface=ether1 network=123.123.123.0
  27. add address=192.168.200.254/24 interface=bridge-local network=192.168.200.0

  29. /ip route
  30. add distance=3 gateway=172.16.0.1 routing-mark=vpn
  31. add distance=5 gateway=ether1

  33. /ip firewall nat
  34. set [find action="masquerade"] out-interface=ether1 dst-address=!192.168.100.0/24

  36. /ip firewall mangle
  37. add action=mark-routing chain=prerouting dst-address-list=cn new-routing-mark=vpn passthrough=no src-address=192.168.200.0/24
複製代碼

TOP

1234
返回列表