MikroTik hAP ac² - 从香港 smart connect to 大陆 VPN client（逆向翻墙）

角色

从香港 smart connect to 大陆 VPN client（逆向翻墙）

现在很多大陆的家用broadband，ISP给都是private IP address，在香港根本不VPN过去，那么有什么方法？答案是利用“逆向翻墙”方法。我们可以采用MikroTik routers，如果不需要WiFi，可以使用RB750Gr3，大陆买大约人民币300元，如果需要WiFi的话，可以考虑MikroTik 2018最新的产品hAP ac^2，在大陆买大约人民币420元。

如果家里有个设备，能某个port变成CN IP port，有不同SSID，一组是去大陆，一组是香港，一组是可以同时（smart connect）上大陆和香港网站的，简单说如果是大陆IP就走大陆Gateway，不然就走香港Gateway。
么怎样set hAP ac^2呢？

Configruation 目标：
1.        Ether5是CN IP port
2.        Ether4是Smart IP port
3.        Ether2-3是香港IP port
4.        Ether1是香港 WAN port
5.        SSID 1（MT-2G）是香港IP
6.        SSID 2（MT-5G）是香港IP
7.        SSID 3（MT-2G-CN）是大陆IP
8.        SSID 4（MT-5G-CN）是大陆IP
9.        SSID 5（MT-2Gs）是Smart IP
10.       SSID 6（MT-5Gs）是Smart IP


address：vpn.abc.com (你香港的vpn server address)
user name：cn
password：cn-password
VPN protocol：pptp


大陆的VPN router vpn client side settings

如果大陆用MikroTik router，用pptp VPN client去连接香港的VPN server。

1. /interface pptp-client
   
2.     add connect-to=vpn.abc.com disabled=no name=pptp-hk password=cn-password user=cn

複製代碼

.

香港的VPN router vpn server side settings

Step 1：Reset your router

1. /system reset-configuration skip-backup=yes

複製代碼

.

Step 2：VPN settings and MikroTik DNS

1. /ip pool
   
2. add name=vpn ranges=192.168.89.2-192.168.89.255
   
3. 
   
4. /ppp profile
   
5. set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
   
6. 
   
7. /interface l2tp-server server
   
8. set enabled=yes ipsec-secret=vpn-password use-ipsec=yes
   
9. 
   
10. /interface pptp-server server
    
11. set enabled=yes
    
12. 
    
13. /interface sstp-server server
    
14. set default-profile=default-encryption enabled=yes
    
15. 
    
16. /ip cloud
    
17. set ddns-enabled=yes
    
18. 
    
19. /system ntp client
    
20. set enabled=yes primary-ntp=118.143.17.82
    
21. 
    
22. /system clock
    
23. set time-zone-name=Asia/Hong_Kong
    
24. 
    
25. /ip firewall filter
    
26. add chain=input protocol=ipsec-esp comment="ISsec ESP method"
    
27. add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
    
28. add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
    
29. add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
    
30. add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
    
31. add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
    
32. 
    
33. /ip firewall nat
    
34. add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
    
35. 
    
36. /ppp secret
    
37. add name=cn password=cn-password

複製代碼

.

move the rules under firewall filter just after the rules for ICMP and before the drop rules for the input chain.

图一：Before moving


图二：After moving


Step 3: Set the default WiFi security profile (eg. password=wifi-123)

1. /interface wireless security-profiles
   
2.     set authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key=wifi-123 [find name="default"]

複製代碼

.

Step 4：Set 2.4GHz SSID=MT-2G, 5GHz SSID=MT-5G

1. /interface wireless
   
2.     set wlan1 ssid=MT-2G frequency=auto security-profile=default disabled=no
   
3.     set wlan2 ssid=MT-5G frequency=auto security-profile=default disabled=no

複製代碼

.


Step 5: Create new bridge named bridge-cn and bridge-smart

1. /interface bridge
   
2.     add name=bridge-cn
   
3.     add name=bridge-smart

複製代碼

.


Step 6: Create virtual APs

1. /interface wireless
   
2.     add disabled=no master-interface=wlan1 name=wlan3 ssid=MT-2G-CN
   
3.     add disabled=no master-interface=wlan1 name=wlan4 ssid=MT-2Gs
   
4.     add disabled=no master-interface=wlan2 name=wlan5 ssid=MT-5G-CN
   
5.     add disabled=no master-interface=wlan2 name=wlan6 ssid=MT-5Gs

複製代碼

.


Step 7: Detach (remove) ether4 and ether5 from the default bridge

1. /interface bridge port
   
2.     remove [find interface=“ether5”]
   
3. /interface bridge port
   
4.     remove [find interface=“ether4”]

複製代碼

.


Step 8: Add ether5, wlan3 and wlan5 to the new bridge “bridge-cn”

1. /interface bridge port
   
2.     add bridge=bridge-cn interface=ether5
   
3.     add bridge=bridge-cn interface=wlan3
   
4.     add bridge=bridge-cn interface=wlan5

複製代碼

.

Step 9: Add ether4, wlan4 and 6 to the new bridge “bridge-smart”

1. /interface bridge port
   
2.     add bridge=bridge-smart interface=ether4
   
3.     add bridge=bridge-smart interface=wlan4
   
4.     add bridge=bridge-smart interface=wlan6

複製代碼

.


Step 10: Assign an IP address range 192.168.80.1/24 to the bridge-cn interface

1. /ip address
   
2.     add address=192.168.80.1/24 interface=bridge-cn

複製代碼

.

Step 11: Assign an IP address range 192.168.81.1/24 to the bridge-smart interface

1. /ip address
   
2.     add address=192.168.81.1/24 interface=bridge-smart

複製代碼

.

Step 12: Set up a DHCP server for bridge-cn

1. /ip dhcp-server setup

複製代碼

複製代碼
.

Based on the following screen dump, inupt the correct bridge name “bridge-cn” and the DNS servers: 8.8.8.8 and 8.8.4.4

1. [admin@MikroTik]
   
2. /ip address>
   
3. /ip dhcp-server setup
   
4. Select interface to run DHCP server on
   
5. 
   
6. dhcp server interface: bridge-cn
   
7. Select network for DHCP addresses
   
8. 
   
9. dhcp address space: 192.168.80.0/24
   
10. Select gateway for given network
    
11. 
    
12. gateway for dhcp network: 192.168.80.1
    
13. Select pool of ip addresses given out by DHCP server
    
14. 
    
15. addresses to give out: 192.168.80.2-192.168.80.254
    
16. Select DNS servers
    
17. 
    
18. dns servers: 8.8.8.8,8.8.4.4                     
    
19. Select lease time
    
20. 
    
21. lease time: 10m
    
22. [admin@MikroTik] /ip address>

複製代碼

.

Step 12: Set up a DHCP server for bridge-smart

1. /ip dhcp-server setup

複製代碼

.

Same as bridge-cn and replace bridge-cn by bridge-smart

Step 13: blank
.

Step 14: Input China IP address list

1. /tool fetch url=http://www.iwik.org/ipcountry/mikrotik/CN

複製代碼

.

Step 15: Import the list to CN file

1. /import file-name=CN

複製代碼

.

Step 16: Mangling packets for policy route by applying different routing marks

1. /ip firewall mangle
   
2.     add action=mark-routing chain=prerouting in-interface=bridge-cn new-routing-mark=cn-gateway passthrough=no
   
3.     add action=mark-routing chain=prerouting in-interface=bridge-smart dst-address-list=CN new-routing-mark=cn-gateway passthrough=no

複製代碼

.

Step 17: Apply masquerade to the out-interface "pptp-cn"

1. /ip firewall nat
   
2.     add action=masquerade chain=srcnat out-interface=<pptp-cn>

複製代碼

.

Step 18: 下面的rules，一般搬到Fasttrack之前。

1. /ip firewall filter
   
2.     add action=accept chain=forward in-interface=bridge-cn
   
3.     add action=accept chain=forward out-interface=bridge-cn
   
4.     add action=accept chain=forward in-interface=bridge-smart
   
5.     add action=accept chain=forward out-interface=bridge-smart

複製代碼

.

在最初的时候那些rules都放在最后，用drag and move方式把它们放到FastTrack Rules之前。

图一：刚安装
(参考别的图)

图二：移动后
(参考别的图)

Step 19: Policy route based on the new mark routing-mark “cn-gateway"

1. /ip route
   
2.     add distance=1 gateway=<pptp-cn> routing-mark=cn-gateway

複製代碼

.

Step 20: Reboot the router

1. /system reboot

複製代碼

.

角色

回復 19# carlchan

你搞好就好，CHIng是否有用USB 4G modem，然后插入hAP ac的USB port？

carlchan

在Mobile01提問的也是您對吧

1.將bridge-hk給移除...用不到.
因ether5不需要綁到bridge-hk,所以請您也 ...
gfx86674 發表於 2018-6-22 18:27

It is now working!
I just want to bring the l2tp client modem to site by use ether5,
I remote desktop my home computer without setting up vpn in desktop ...

Thank all big big brother ...

and now looking at the bcp connection ...
http://www.telecom-cafe.com/foru ... &extra=page%3D1

角色

回復 17# gfx86674

谢谢CHing的信息，我都好好学习一下，不同的policy route based methods。

gfx86674

回復 14# 角色
沒有必要的情況,只有單ethernet時不使用bridge可以省軟體橋接吃掉的資源.

/ip route rule也是policy route的另一種方式 ,routing-mark名稱直接在table定義即可.


搭/ip firewall mangle非是標記的唯一方案...
不過/ip firewall mangle可以搭address-list使用, /ip route rule就無法利用了.

權限方面/ip route rule > /ip firewall mangle
在/ip firewall mangle已標記過的,
可以透過/ip route rule ,從src-address或dst-address再限縮已標記的routing-mark範圍.


不只是policy route ,
/ip route rule也有firewall filter的能力,
選擇action=drop或unreachable會丟棄您選擇的封包...就這樣

carlchan

Thx 各大大

Let me try try

And looking bop method

角色

你下面两句话：

1.將bridge-hk給移除...用不到.
因ether5不需要綁到bridge-hk,所以請您也到bridge port的設定將ether5綁定給移除.

2.ether5開啟另一組dhcp-server (interface=ether5),請到/ip dhcp-server設置.
複製bridge-lan的做法即可.

那么跟多开一个bridge有什么分别呢？

角色

回復 13# gfx86674

我用bridge-hk，主要是把WiFi也tie进去，方便日后用。

你的to-hk在哪里加入？是否在mangle那里？

gfx86674

more clear pic
carlchan 發表於 2018-6-22 08:44

在Mobile01提問的也是您對吧

1.將bridge-hk給移除...用不到.
因ether5不需要綁到bridge-hk,所以請您也到bridge port的設定將ether5綁定給移除.

2.ether5開啟另一組dhcp-server (interface=ether5),請到/ip dhcp-server設置.
複製bridge-lan的做法即可.

3./ip route rule新增:


4./ip route新增:


5./ip firewall nat新增:


擺在其它chain=srcnat 更優先的位置

角色

回復 7# carlchan

我记得我从来没有touch distance这个parameter，我都是policy route。

角色

Use android mobile/LTE 可以上網
VPN 到家庭路由器 可以(connected)

如何設置 ether5(interface) 用這個  ...
carlchan 發表於 2018-6-21 21:40

你说：“如何設置 ether5(interface) 用這個 VPN 上網”，这个port估计device需要香港IP吧！是吗？

角色

我用我的hAP a^2 + Mobile Phone + USB cable，enable USB Tethering就可以。我估计你把WAN和LTE分得不太清楚所导致。等我有空的时候再写一篇关于用USB tethering，或者USB modem接入看看。

你先把LTE看一个interface，这个interface可以让你上网，跟WAN一般，你应该做的就是把Local network SRC 接 LTE interface 用 NAT masquerade方法，把Router，能上网就可以。后面的跟这幅帖子一样的，没有什么区别。

carlchan

more clear pic

角色

You have to use policy route to tell the router to route the traffic based on routing mark.

carlchan

After vpn connected, I got lte route and vpn route,
How can I force all traffics to vpn?
Just change the distance , vpn =1, lte = 2,
Can not  go internet