個人積分:1603分
文章編號:88897972
個人積分:149分
文章編號:88899219
a6595085 wrote:
這樣能通沒錯,不過我記得這樣會變成vlan1跟vlan 200都會untagged到ether 5,
因為routeros可以untag多個id到一個interface上,
你會看到系統自動幫你產生規則在vlans底下。
如果你要完全擋掉的話,對port上強制設定PVID會比較好。
好的,
為防止系統誤判,還是在port上設定pvid值 ~
a6595085 wrote:
由於ether 1跟bridge綁在一起,所以你要把他們兩個當成一體會比較好理解。
也就是ether1上設定了什麼TAG,bridge就也要做一樣的事情,
因此就可以理解成,ether1 = bridge上帶著1/10/20/100這四個TAG的資料包,
然後要去哪裡,就根據規則把對應的封包丟到目的地interface,然後根據設定加解tag。
有經由k大,把bridge想成虛擬switch ,就好理解許多 。
理解如下:
RB5009(ether1) <=> 虛擬switch (bridge)
RB5009(ether1) 為trunk 並連結至虛擬switch上,故再虛擬switch(bridge) 上也要做相對應的vlan (trunk)。
a6595085 wrote:
那個Pref Source我平常沒有使用,不太確定機制如何。
我有查了一下資料好像是,
要指定這個走這個路由出去的IP是用Pref Source來當作Src addr.的意思,
最常見的例子是用在IPSec Site-to-Site VPN上,上述有誤再麻煩補充。
後面有看到gfx大的回覆, 有稍微理解。
原來是指 固6這條線路,出去Pref Source可以指定固6其中一個IP作為出口.
a6595085 wrote:
在routeros裡面有兩種方式讓LAN可以上網(做NAT),
一種是masquerade(偽裝),另一種是SNAT。
由於masquerade的路由出口是可變的,
為了確保你固6進來跟出去的路由是同一個IP,因此用SNAT的方式設定會比較簡單。
另外如果有其他設備要走不同固6 IP的話一樣要設定。
我以為可以像之前設定一樣
於 /IP->Firewall->Address List> 新增address lists ,10.0/24與20.0/24都取名LAN ,
並再Src. Address List調用,再做masquerade ,就可以2條ISP(PPPOE/固6)線路偽裝出去這樣。
a6595085 wrote:
第一條是在說,如果從89.0/24來的封包要到88.0/24,要放行。
第二/三條是在說,如果LAN有來自使用固6 IP的封包,
並且要出去的interface是bridge或vlan200,要放行。
第四條是在做路由標記,把從Internet經過固6進來的連線,打一個標記為static6。
第五條是在做路由標記,如果IP範圍是固6的那幾個要連出去Internet,
幫這些封包打一個標記為static6。
希望用文字說明能讓你比較理解這些設定
非常感謝a大的說明
有稍微理解用途了。
自己用白話一點,不知道這樣對不對。
第一條:
封包進入路由之前, 如果是從vlan200(89.0/24)段口進入並到所到達的目地地址為88.0/24,同意放行。
(只是這條是指外面可以做互通嗎?)
第二/三條:
封包從路由器出去至PC或Internet,若來源地址為固6_IP,並由bridge端口或vlan200端口出去的, 即同意。
第四條:
進入路由前,是從vlan200(固6)端口進入的,且目的地不是前往本地IP,則打上標記 。
第五條:
封包從路由出去,來源為固6_IP , 且目的地不是到本地IP,則打上標記。
第四/五條 ,是指固6那條線路進來,打上標記, 我以為進來打上標記,讓內部處裡完相關分類與NAT,出去就可以了,以為可以不必打標記。
在想是不是因為出口這條後面有偵測 routing-mark=static6 的關係。 所以上述才需要出去打標記
add distance=1 dst-address=0.0.0.0/0 gateway=61.220.223.254 routing-mark=static6
還有passthrough的概念,不知道對不對,我再去研究爬文
所以第四條的passthrough才打上no ? 如果打上yes,是不是第五條就不必設定標記static6了?
*passthrough=no 是已經到盡頭,所以不需要pass傳送下去囉?
a6595085 wrote:
當然可以,不過我自己習慣用VLAN 1。
好的~
因為有提到vlan1管理所用,才怕說會有什麼風險之類的
a6595085 wrote:
gfx大的意思是說,如果你想要讓....(恕刪)
好的, 大致上了解橋的pvid 還是單純為1好,
所以因為vlan1本身性質,如a大所說是untagged,如果在增設上去其他的pvid
會變成2個pvid值再bridge上跑,使之亂竄的風險
謝謝a大的說明.
個人積分:149分
文章編號:88899304
gfx wrote:
所有的問題a大都正確解答,我就不再重覆。
Pref Source是定義路由出去的IP,用作Src addr.的意思沒有錯。
vlan20一共設定61.220.223.81-61.220.223.86這6個ip,
若指定61.220.223.81,"Router"當使用固定ip線路時,會以61.220.223.81對外,但不含後端的"PC群組"。
"PC群組"要使用那個固6連外,是靠NAT內action=srcnat裡,to-addresses設定的ip決定的。
若Pref Source不指定,會由您在/ip address設定固6地址時,那個ip是第一加入決定。
感謝gfx大說明。
Pref Source 算是固6線路上,可以指派所要對外的IP,盡而隱藏其他5組的IP囉?
算是分享器的意思?
我以為固6,中華給予的6個IP, 只能用再6台電腦上使用這樣。
好的,指定PC群組裡的各別IP,則再NAT上設定,我以為要跟上方Pref Source這個做匹配這樣。
個人積分:1603分
文章編號:88899991
Rocvky wrote:不對,只是挑一個ip預設對外,並不是隱藏其他ip。
Pref Source 算是固6線路上,可以指派所要對外的IP,盡而隱藏其他5組的IP囉?
算是分享器的意思?
有些連線功能也是可直接指定其他的Ip(如:l2tp client,src-address欄可以指定其他ip),
不一定得遵守pref source給的ip;但沒指定的,一定遵守pref source指定的ip對外。
Router後端的pc,除非pc是直接指定固6,如:61.220.223.82,
不然理論上Router讓pc透過192.168.x.x的ip + nat的組合,
一個61.220.223.x ip幾乎可以讓無限台pc共用上網。
但nat是給躲在Router後端的pc用,Router可是直接面對網際網路沒經過nat。
Router真的是用61.220.223.81直接對外,與PC是透過nat完全不同。
個人積分:149分
文章編號:88901033
個人積分:1603分
文章編號:88905914
若有設定out-interface,系統會去找/ip address裡,interface登記的ip是哪個。
如:
pppoe-out1撥號登記的有address(local-address)與network(remote-address),
pppoe-out1偽裝即用的是address(local-address)
而固定ip則登記的address(local-address)有6個,61.220.223.81-61.220.223.86
透過masquerade他會去找最早登記的ip,沒意外應該是61.220.223.81,
但您若ip登記的順序若不是依數字順序,難保證偽裝的結果是其他。
與其用masquerade讓系統選一個,因不是浮動ip還不如用src-nat自己選填來的好。
其實用masquerade最大的優點即不用考慮這接口的local-address,因為系統會找。
這對pppoe撥號有優勢,因大多的撥號取的ip是浮動的;
若local-address是固定的,那還是自己填比較優。
以上是有指定out-interface的情況,若是out-interface不填選masquerade會怎樣?
這時系統就會找目前路由表0.0.0.0/0的接口,而0.0.0.0/0的通常是預設公網接口。
所以固定ip的線路偽裝,既沒指定out-interface,動作且選masquerade恐會造成災難。
偽裝成pppoe-out1的ip,然後從固定ip線路出去,被isp端拒絕...就這樣。
———————————————————————————————————
題外話,您是否有想過pppoe-out1出現2個ip的可能?
答案是有可能的,只要您Router開啟ikev2 client就會觸發。像這樣:
這時後若pppoe-out1偽裝靠的是masquerade很有可能成為災難,
偽裝成192.168.88.210,而非114.32.101.189從pppoe-out1接口出去...
想當然爾這在isp端會被拒,導致全部PC端都失去網路。
所以若有用ikev2 client的Router,pppoe-out1只能用src-nat指定出口ip。
浮動的ip的問題,只能靠另準備的腳本隨時更新偽裝的to-addresses解決;
若Router沒有ikev2 client需求,就當問題不存在吧。
個人積分:1603分
文章編號:88906006
#當192.168.89.0/24(vlan200)對192.168.88.0/24連接時,保持原路由閘道(192.168.88.1)
add action=accept chain=prerouting in-interface=vlan200 dst-address=192.168.88.0/24
#當61.220.223.0/24連接192.168.88.0/24(bridge1)時,保持原路由閘道(192.168.88.1)
add action=accept chain=output src-address=61.220.223.0/24 out-interface=bridge1
#當61.220.223.0/24連接192.168.89.0/24(vlan200)時,保持原路由閘道(192.168.89.1)
add action=accept chain=output src-address=61.220.223.0/24 out-interface=vlan200
#當192.168.89.0/24(vlan200)對其他目的連結時,除上保持原閘道以外的,以及目的是Router登記外(!local)的,一律往static6閘道(61.220.223.254)
add action=mark-routing chain=prerouting in-interface=vlan200 dst-address-type=!local new-routing-mark=static6 passthrough=no
#當61.220.223.0/24對其他目的連結時,除上保持原閘道以外的,以及目的是Router登記外(!local)的,一律往static6閘道(61.220.223.254)
add action=mark-routing chain=output src-address=61.220.223.0/24 dst-address-type=!local new-routing-mark=static6 passthrough=no
您應該注意到了PC群組(192.168.89.0/24,vlan200)的chain用的prerouting;
但61.220.223.0/24(Router)的chain用的卻是output?
這與linux架構有關,策略路由若是Router後端的,chain一律採prerouting;
而61.220.223.81-61.220.223.86這些ip都是登記在Router本地內的(local),
則chain一律採output,就這樣~
感謝gfx大解說,這邊我再去消化一下
個人積分:149分
文章編號:88906152
----------------------------------------------------------------------------
更新: 已可順利連上(忘了改server閘道)
gfx wrote:
/ip firewall nat設置內偽裝若使用masquerade,要看您out-interface設定哪個接口。
若有設定out-interface,系統會去找/ip address裡,interface登記的ip是哪個。
最近剛好也是 out-interface 所產生的一些問題, 映射(回流)設定好之後,卻無法從外網連線(映射)。
反而回流都可以順利連上!( 內網電腦連上外網DDNS網域(回流)都可以順利連上。)
這是目前所設置的方法。
*DDNS用群暉NAS給的(xxx.synology.me)
但就是在外網(手機4G環境) ,打上NAS主機網址可以連上NAS
但架在NAS主機內的服務卻連不上了(NAS裡有開虛擬主機,架設Home-assistant 192.168.10.111:8123)
另外還有獨立的監視器主機機器(192.168.10.252:8001)。在外網環境下也連不上
*NAS主機IP:192.168.10.10。
但只要把out-interface: pppoe-out1 這個去掉,就全部都能通了,映射跟回流都OK。
有拜讀gfx大的文章,知道去掉的優缺點 .尤其是有NAS的更不應該去掉(會變路由器網關進出)
及有設定指定接口,才會更有效率。
out-interface接口去掉後,就都可以都連上了。
http://xxx,synology.me:8123 / http://xxx,synology.me:8001 上的port更改一下可以連到不同的server 。
(HomeAssistant / 監視器主機)
更新: 已可順利連上(忘了改server閘道)
----------------------------------------------------------------------------
gfx wrote:
而固定ip則登記的address(local-address)有6個,61.220.223.81-61.220.223.86
透過masquerade他會去找最早登記的ip,沒意外應該是61.220.223.81,
但您若ip登記的順序若不是依數字順序,難保證偽裝的結果是其他。
與其用masquerade讓系統選一個,因不是浮動ip還不如用src-nat自己選填來的好。
好的,直接指定選填也比較好,感覺對路由器也更好更有效率,如gfx大所言, 動態masquerade,靜態scnat 。
gfx wrote:
以上是有指定out-interface的情況,若是out-interface不填選masquerade會怎樣?
........
原來如此,還有這一層的隱憂。
pppoe-out1出現兩個還是頭一次看到
不過剛好gfx有提到ikev2 ...這個打算以後來研究設定(主要要給手機VPN連線)
這部分還沒研究,待有遇到再跟gfx大請益。
個人積分:149分
文章編號:88908400
也順利都能連上去了。
想再請教,如果電腦是固6線路89.0/24(vlan200), 能否也能連入88.0/24(vlan1) 映射呢。
*我了解不同vlan間,是視為隔離的,互不相干.才是vlan的本意。
我把下圖的 in-interface: pppoe 刪掉, 使用固6_IP的電腦也能利用連上DDNS網域(回流)連上~
想說如果是較嚴謹的做法,是不是也要定義61.220.223.0/24這個網段之類的。
*我怕in-interface改成vlan200,在pppoe線路的電腦怕又不能用了。
還有一個問題就是NTP Client 這個之前在v6設定time伺服器馬上就更新。
但在Routeros v7 上,在NTP Client上設定多個time伺服器, 不會馬上更新,出現waiting...
過了幾天看才可順利校時,這個算是正常的嗎? 有選台灣的time伺服器 如:clock.hinet.net、time.stdtime.gov.tw....等。
個人積分:1603分
文章編號:88908702
想再請教,如果電腦是固6線路89.0/24(vlan200), 能否也能連入88.0/24(vlan1) 映射呢。可以的,若只是89.0/24的裝置要透過nas_ddns映射連接至nas,
複製嚴謹in-interface=bridge的這個映射設定,只要把in-interface換成vlan200即可。
但若是vlan20,透過固6連接nas...
除了in-interface需設置成vlan20,dst-address也得填固6_ip。
更重要的,mangle需做固6與nas相關的策略(這部份您目前未設置)。
讓從固6進來的連線,也從固6回去;而非nas目前使用的pppoe-out1送出。
若從pppoe-out1送出原本該回固6的封包,這連線將會丟包。
----------------------------------------------------------------------------
*我了解不同vlan間,是視為隔離的,互不相干.才是vlan的本意。192.168.88.0/24(bridge)與192.168.89.0/24(vlan200)可互相連結全是因rb5009的關係。
因為他們兩接口閘道192.168.88.1與192.168.89.1全都在rb5009上面。
若您把192.168.88.1與192.168.89.1其中一個ip從rb5009移開,
那這兩個接口就真的完全中斷了。
但88.0/24與89.0/24都得靠rb5009發ip,您把這兩個網段閘道拿掉又很不實際。
所以您需在/ip firewall raw新增封鎖規則:
add action=drop chain=prerouting in-interface=bridge dst-address=192.168.89.0/24
這樣兩接口就無法往來了。
若需要一個例外,如:nas...那就新增:
add action=accept chain=prerouting src-address=192.168.88.100 dst-address=192.168.89.0/24
再把這個新增的項目擺在封鎖之前,這樣封鎖就影響不到nas(192.168.88.100)了。
----------------------------------------------------------------------------
還有一個問題就是NTP Client 這個之前在v6設定time伺服器馬上就更新。NTP Client更新慢的問題,用v7我並無發生。但要解決應該很容易。
但在Routeros v7 上,在NTP Client上設定多個time伺服器, 不會馬上更新,出現waiting...
以clock.hinet.net為例:
透過nslookup解析分別可得202.39.161.99與168.95.195.12
把這兩個都加入路由表,您可以選擇pppoe或固6更新。
pppoe-out1:
static6:
固6需標明pref-source,否則Router會不清楚用那個ip連結ntp伺服器。
關閉廣告