EOIP - SSTP

Rank: 1

22^#

發表於 2017-2-8 10:56 | 只看該作者

再看L2TP穿越GFW，幾乎常斷，所以是不能用穿越。
想加Vitural AP （VAP) 但想在中國派另一組IP address 嗎，如何連到EOIP。能知道如何設定嗎？
通過EOIP到香港DHCP server 拿IP 會太慢。

Rank: 1

21^#

發表於 2017-2-2 17:15 | 只看該作者

本帖最後由 gfx86674 於 2017-2-2 17:19 編輯

回復 20# yiucsw
eoip這點小弟不清楚 ,小弟在台灣也是將eoip建置在l2tp內,

但小弟在對岸沒有router可連結,無法得知可否穿越GFW.

您可觀察是否有/ip firewall connection是否有gre封包在進行傳遞
(eoip與pptp同,是利用gre封包進行傳輸)

若是/ip firewall connection列表裡無gre連線,那可能真又在GFW卡關.
只能改在加密的sstp或ipsec裡建置eoip了.

附件: 您需要登錄才可以下載或查看附件。沒有帳號？註冊

Rank: 1

20^#

發表於 2017-2-1 23:20 | 只看該作者

謝謝，不知道原因，但發現L2TP支持EOIP有點問題，從SSTP 改到L2TP， EOIP tunnel 是沒有辦法Route Traffic。
在DNS的想法是：在中國的Mikrotik 每60分鐘通過VPN 將香港Mikrotik的 WAN 地址複製到中國 Mikrotik 的 StatiC DNS，用 xxxx.sn.mynetname.net。要是解開的地址不在香港（污染），那要從新找DNS的地址。

Rank: 1

19^#

發表於 2017-2-1 21:36 | 只看該作者

本帖最後由 gfx86674 於 2017-2-1 21:44 編輯

有時候若clients重覆登入同一個帳號,會發生這樣的情況.

這樣會讓我們做site to site時出現困擾,所以要透過script阻止這樣的現象產生.

附件: 您需要登錄才可以下載或查看附件。沒有帳號？註冊

Rank: 1

18^#

發表於 2017-2-1 20:49 | 只看該作者

回復 17# yiucsw

~是使用正則表達式比對 ,"^"是只比對字串開頭符合條件的.

附件: 您需要登錄才可以下載或查看附件。沒有帳號？註冊

Rank: 1

17^#

發表於 2017-2-1 18:38 | 只看該作者

對不起我對Script 不認識，看了一會還是不明白。
/interface find name~"^<l2tp-cn" 是找L2TP-CN 的名字？
是從FDQN 的Dynamic DNS變成IP Address？

Rank: 1

16^#

發表於 2017-2-1 00:18 | 只看該作者

本帖最後由 gfx86674 於 2017-2-1 01:03 編輯

回覆 15# yiucsw
VPN是雙向的,只要有VPN連接成,兩端都可以借這個隧道相互翻牆.

若是從香港撥往中國 ,香港router的設置:
/ip firewall mangle add action=mark-routing chain=output dst-port=15252 \

new-routing-mark=to_cn passthrough=no protocol=udp

/ip route add distance=4 gateway="l2tp-out1" routing-mark=to_cn

/ip firewall nat add action=masquerade chain=srcnat \

comment=l2tp-out-cn out-interface="l2tp-out1"
複製代碼

若是從中國撥往香港 ,香港router的設置:
/ip firewall mangle add action=mark-routing chain=output dst-port=15252 \

new-routing-mark=to_cn passthrough=no protocol=udp

/ip route add distance=4 gateway="<l2tp-cn>" routing-mark=to_cn \

comment=l2tp-in-cn

/ip firewall nat add action=masquerade chain=srcnat \

comment=l2tp-in-cn out-interface="<l2tp-cn>"
複製代碼
除此外,還需在/system scheduler新增script:

:local cn [/interface find name~"^<l2tp-cn"]

:if ([:len $cn]>0) \

do={

         :if ([:len $cn]>1 || ([:len $cn]=1 && [/interface get $cn name]!="<l2tp-cn>")) \

            do={:foreach i in=$cn do={/interface l2tp-server remove $i} ; :delay 2s}

         :delay 10s

         :local route [/ip route find comment="l2tp-in-cn"]

         :local nat [/ip firewall nat find comment="l2tp-in-cn"]

         :if ([/ip route get $route gateway]!="<l2tp-cn>" \

            || [/ip firewall nat get $nat out-interface]!="<l2tp-cn>") \

            do={/ip route set $route gateway="<l2tp-cn>"

                  /ip firewall nat set $nat out-interface="<l2tp-cn>"}

      }
複製代碼
設置完,香港router的/ip cloud就能為中國router更新中國地址.

附件: 您需要登錄才可以下載或查看附件。沒有帳號？註冊

Rank: 1

15^#

發表於 2017-1-30 21:45 | 只看該作者

剛改在香港的中國電視機連到中國網絡。
改了L2TP，好像穩定下來，沒有幾少時斷開網絡一次。
還有將TV的IP改成Static 的中國, 大大改善網絡連接時間。

想爬文改用Mikrotik 內的DNS，從VPN找DNS， update 到 Static DNS. 有沒有範文能參考？
主要是VPN 常斷線。
要是能將IP cloud 的DNS更新到中國的Mikrotik 的Static DNS, 那連DDNS 都不用。

Rank: 1

14^#

發表於 2017-1-26 02:27 | 只看該作者

本帖最後由 gfx86674 於 2017-1-26 02:35 編輯

回復 13# vpn-learner
可以,很久以前就可以了.

只不過早期的ros版本會自動幫您轉成ip ,
但轉成ip後 ,下次server的地址浮動後就又連不到遠端了,
因為與connect-to記錄的不同 ,connect-to還是上一次的舊地址,並沒有跟著更新.
所以早期的ros要持續穩定的使用vpn-client ,得需script配合.

而6.x版本後的vpn-client ,ros就不再多事幫您轉成ip (可能被用戶投訴多了

)
所以connect-to仍可輸入ddns使用 ,但不必再擔心地址浮動的問題.

vpn-learner

Rank: 1

13^#

發表於 2017-1-26 01:50 | 只看該作者

请问：（如图）

附件: 您需要登錄才可以下載或查看附件。沒有帳號？註冊

Rank: 1

12^#

發表於 2017-1-23 22:13 | 只看該作者

本帖最後由 gfx86674 於 2017-1-23 22:17 編輯

回復 11# yiucsw
若您想做的是layer3 ,就不要去想layer2的eoip.
使用eoip註定就是往server的方向交換封包.

若您想有保有router地址判段的優勢,就待在sstp這區塊就好.
您可以將dst-address=0.0.0.0/0 (default route)的gateway換成sstp-out1 ,
然後非china的地址才改透過路由策略改使用isp連結,就這樣.

Rank: 1

11^#

發表於 2017-1-23 21:13 | 只看該作者

我怕將所有的Traffic 到Bridge 到中國？是加Bridge Filter，VLAN，還是分Lan Segment來解決這個問題？
想問我現在想分兩個IP LAN Segment, 一個給在中國的Virtual AP, Ether5，一個在本地香港用，
如何設置？兩個DHCP？
現在是兩個EOIP 一個是在中國取到香港IP，在香港EOIP Interface 加到Bridge到，
一個是在香港取中國IP，在香港加EOIP interface 加到 Bridge。
是不是太複雜？有沒有簡單點的方法？