將中國的Ether5/Wlan2 搬到香港 BCP over SSTP

yiucsw

從之前 gfx86674 http://www.telecom-cafe.com/foru ... &extra=page%3D1 加描述再簡化。選BCR的原因是簡單容易設定，容易排錯。
其實做法是用一條L2網線將中國家的Mikrotik Ether5搬到香港。

香港區設定。
-       在香港區設定SSTP/L2TP server, MRRU=1600
-       將香港區的Default bridge 加到 PPP profile (BCP-profile)
-       Add route 192.168.CN.0/24 gateway 192.168.82.8 (主要是在香港家能login中國的Mikrotik)

中國區設定
-        加新的BCP Bridge, 將BCP Bridge 加到 PPP profile (BCP)
-       將Ether5, BCP-Bridge port. (從香港DHCP 直接派IP）
-       設定Ether5 的 IP 地址是 192.168.82.8/24    (主要是將香港網路IP地址延到中國Router 內）  

** 不用Admin-MAC, 香港區已有，中國區是用Ether5 MAC.
** IP ARP，中國區沒有插電視箱到Ether5, and 沒有ARP。
** ARP = enable. Proxy-ARP 会loop IP assignment。
** 不要加IP address 到SSTP（加了香港DHCP 派不了IP到中國）

hbmask

回復  passby

我的PBR，网络正常的时候上下载有20Mbps。（大陆用中国移动（就是以前的铁通）） ...
角色 發表於 2018-3-4 16:04

    中国联通是否有兴趣,,提供大陆线,下200 上40

gfx86674

回復 36# yiucsw
local => Router itself
(Router-Address-list ,包含在/ip address內記錄的所有固定與浮動地址)

in-interface=ether1搭dst-address=local ,即從ether1進入,目地連接到Router的所有連線;若勾選invert(反向器) ,則代表從ether1進入,目的地非Router的所有連線.

local不搭interface時,廣範代表Router地址清單 ;
搭interface時則是指定router某個接口或出口的地址,這對於浮動地址的設置時,是很便利的.

yiucsw

回復 26# gfx86674

謝謝，BCP 不穩定，Debug 了一段時間，終於重啓了CMCC 的路由，問題解決。現在用你的更新範本能互連互通。可以加CN。。。
可以問問,以下的圖 mangle，好像不明白 有什麼作用。

gfx86674

重做RouterB - 其他Ether port 的部分... "RouterB(中國)的翻牆設置,首先您要將CN的ip的清單匯入RouterB... ...
yiucsw 發表於 2018-9-3 04:51

dns-server不要用互連網的 ,
site-to-site後要設置HK Router架的dns-server(192.168.x.x)

yiucsw

重做RouterB - 其他Ether port 的部分... "RouterB(中國)的翻牆設置,首先您要將CN的ip的清單匯入RouterB...".
加了一個Virtual WI-FI interface 來 翻牆。發現DNS 不對。中國DNS已經污染，沒有辦法route 到正確的地址。加多一個DHCP 來指定DNS 8.8.8.8 也不成。

gfx86674

回復  gfx86674

謝謝！ 還是DHCP 有點問題。
我現在沒有Block DHCP broadcast,WIFI 是連BCP bridge, 所有 ...
yiucsw 發表於 2018-8-19 18:03

可以把兩端的架構用圖示說明嗎,不然不曉得您在說什麼

yiucsw

回復 28# gfx86674

謝謝！ 還是DHCP 有點問題。
我現在沒有Block DHCP broadcast,WIFI 是連BCP bridge, 所有DHCP 直接派IP 到 遠端（VPN Client). 要是你說“vpn的網段要與lan網段要分開”，那是不是要加一個DHCP 在遠端（VPN Client)？ 還有在 BCP bridge Block DHCP ?
有沒有範本如何手工配置DHCP ？  在 BCP bridge Block DHCP？

gfx86674

回復 30# yiucsw
兩邊profile的bridge欄位對調即可.

變成RouterA新增bridge-bcp橋接器 ,RouterA的ethernet橋接到bridge-bcp上.
profile的bridge欄位設置bridge-bcp;

RouterB則是不需新增bridge-bcp橋接器 ,profile的bridge的欄位則設置bridge(Lan)

yiucsw

回復 26# gfx86674

現在中國的網站會看看是不是本地的網路。例如京東。所有要VPN 到中國。

想問 相反方向如何處理？
RouteA 的 WLAN1/Ether5 VPN 到 中國。

yiucsw

謝謝！ 用你的方法更快建立BCP。
已setup ocserv, 不用BCP 很久。
最近要setup local VPN HK-HK.  再看你的文章，每看一次都能学习新的技术。

gfx86674

回復 27# yiucsw
sstp連線一定會有local/remote-address ,兩邊都是...

橋接interface是sstp附加的,
也就是不管有沒有開bcp橋接interface,一點也不會改變原來sstp舊有的路由能力.

我可以使用sstp的(192.168.0.246/192.168.0.240)橋接192.168.88.0/25與192.168.32.0/25 ,

不過我想說既然用bcp將本地橋接到遠端了,
那我可將本地bridge-bcp定義個地址192.168.32.126 ,這樣本地的router就和遠端是同網段了.
192.168.32.0/25與192.168.88.0/25即父與子路由關係,不必經192.168.0.246/192.168.0.240仲介.

不是說192.168.0.246/192.168.0.240仲介不好,我只是提個樣版給您參考,這也是個方法!!

另外192.168.32.0/25 為何用是25 ,非24?
這是遮罩表式法:
/24 (subnet:255.255.255.0)=> 192.168.32.0-192.168.32.255
/25 (subnet:255.255.255.128)=> 192.168.32.0-192.168.32.127

所以
192.168.32.0/25(192.168.32.0-192.168.32.127)+ 192.168.32.128/25 (192.168.32.128-192.168.32.255)
=192.168.32.0/24 (192.168.32.0-192.168.32.255)

也因家裡的電腦沒這麼多,為了方便管理所以故意將遮罩切小.
/25 (subnet:255.255.255.128)=> 192.168.32.0-192.168.32.127
/26 (subnet:255.255.255.192)=> 192.168.32.0-192.168.32.63
/27 (subnet:255.255.255.224)=> 192.168.32.0-192.168.32.31
/28 (subnet:255.255.255.240)=> 192.168.32.0-192.168.32.15
/29 (subnet:255.255.255.248)=> 192.168.32.0-192.168.32.7
/30 (subnet:255.255.255.252)=> 192.168.32.0-192.168.32.3
/31 (subnet:255.255.255.254)=> 192.168.32.0-192.168.32.1
/32 (subnet:255.255.255.255)=> 192.168.32.0

您或許會問為何不用pool來控制dhcp-server配發ip的範圍?

您應該知道vpn的網段要與lan網段要分開,路由表才不會衝突.
vpn用戶端才能連結server端的伺服器(否則就要開proxy-arp偽裝成router地址)

但我希望lan-pool與vpn-pool都在192.168.32.0/24 ,我該怎麼做?
答案是lan用192.168.32.0/25 ,vpn用192.168.32.128/25 ,

即將192.168.32.0/24切割成兩個網段不就解決了嘛.希望這有幫到您

yiucsw

/ip address 將bridge-bcp加入RouterA的網域
是在 RouteB Bridge assign Route A的 IP address =192.168.32.126/25.
为什么是 /25？

gfx86674

回復 25# yiucsw
RouterA(vpn-server)只有一個bridge-lan(name=bridge) ,網域是192.168.32.0/25


<sstp-bcp>只有當vpn用戶端連線成功時,才會自動加入bridge

RouterB(vpn-client)有兩個bridge ,
分別內部的bridge-lan(網域192.168.88.0/25),與bridge-bcp(橋接sstp-bcp與eth5)


sstp-bcp只當vpn連線成功時,才會自動加入bridge-bcp

RouterA(sstp-server)設置:
/interface sstp-s  server


/ppp profile新增:


/ppp secret新增:


RouterB(sstp-client)設置:
/ppp profile新增:


/interface sstp-c 新增:



/ip address 將bridge-bcp加入RouterA的網域:

將bridge-bcp定義ip為192.168.32.126/25
＃即使bridge-bcp沒定義192.168.32.126/25也不影響BCP連線
#但設置可方便RouterB管理者用ping驗證,是否與RouterA連接上.

以上完成BCP的步驟, 只要RouterB的eth5接上裝置,
就會橋接至RouterA ,與RouterA的裝置處在相同的網段,相同的網路環境.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
以上....若RouterB在中國 ,RouterB的eth2-eth4的裝置可否借BCP翻牆?

可以的,但您要讓RouterA(香港)先知道有192.168.88.0/25這個網段
在RouterA(香港) /ip route新增:

這樣RouterA就知道了192.168.88.0/25是與192.168.32.126有關聯的

再來是RouterB(中國)的翻牆設置,首先您要將CN的ip的清單匯入RouterB...
步驟可參考http://www.telecom-cafe.com/forum/viewthread.php?tid=7047&extra=page%3D2


在RouterB(中國)的/ip firewall mangle新增:




這樣翻牆設置就完成了,不需像一般policy route再設置Route與NAT

yiucsw

可以說明一下嗎？
RouteB 是192.168.32.126，還有沒有其他IP 地址？
DHCP 的設定？ 只有一個DHCP，還是兩個DHCP？ 如何分離？
中國PC 對中國網站不翻牆，如何設定？
能有詳細的說明嗎？