gfx wrote:
MOD若只想接在rb750g...(恕刪)
目前是1孔接中華pppoe,1孔接switch dhcp發送ip,
之前玩tomato是vlan設定拉一port到wan端,只是這樣就不能自動取得區網ip。
RouterOS 可以直接取得區網ip上網,加正常播放mod的設定方法為何?
亂想的方法,孔1、孔2都接到小烏龜,孔3 vlan tag後接給switch,其他孔
沒混入mod訊號接nas等設備。
個人積分:460分
文章編號:69317080
個人積分:1603分
文章編號:69318162
個人積分:20分
文章編號:69335002
有部分Firewall NAT是設定由另台 VPN Client的 RB750Gr3 作為 In.Interface 限定由該介面連入
目前常遇到的問題是,一但 VPN Client斷線了,雖然Client會自行重新連接上VPN
但在 Server端,就無法自行偵測到 VPN Client的 Interface已連線,仍是顯示 No Interface,導致這些 NAT Rules無效
然後我就得遂條去將 NAT Rules,重新選定 In.Interface 為 VPN Client的 Interface
請問有沒有其它較好的作法,可以達到 限定 NAT Rules 僅由指定的 VPN Client Interface可以連入的目地?
感謝 :)
個人積分:618分
文章編號:69335407
個人積分:59分
文章編號:69346855
個人積分:1468分
文章編號:69363189
個人積分:116分
文章編號:69365559
個人積分:1603分
文章編號:69366937
宅就是顧家 wrote:您的vpn-server一定會設一個網段,如:192.168.0.0/24
最近終於閒一些些了...(恕刪)
若您的vpn網段與lan的網段是連續的,如:192.168.0.0/24與192.168.1.0/24
這樣可以用192.168.0.0/23同時代表兩個網段.
在本地/ip ipsec policy的src-address,
用192.168.0.0/23取代舊的192.168.1.0/24(lan)
同樣在遠端router的/ip ipsec policy的dst-address,
用192.168.0.0/23取代舊的192.168.1.0/24(本地的lan)
這樣IPSec就不會只對lan(192.168.1.0/24)進行橋接,對vpn(192.168.0.0/24)也是.
vpn就可以也連接ipsec的另一端了.
————————————————————————————————————————
但vpn的網段與lan的網段不是連續的怎辦?如:172.16.0.0/24與192.168.1.0/24
或者是:192.168.2.0/24與192.168.1.0/24這種192.168.1.0/23不合法的遮罩表示法怎辦?
若是第一種:
只要/ip ipsec policy的設定再複製一個,但src-address修改成172.16.0.0/24
也就是除了lan以外,vpn也設一組即可.
但記得遠端ipsec也要設,同樣/ip ipsec policy再複製一組,
但172.16.0.0/24是設在dst-address上面.
若是第二種:
用第一種的方式當然可以解決,
但我覺得直接套192.168.0.0/22(192.168.0.0-192.168.3.255)包進去就好,省事的多.
除非192.168.0.0/24與192.168.3.0/24這兩個網段有用到,且不想讓遠端連接上,
才非使用第一種方式不可...
個人積分:116分
文章編號:69392251
個人積分:1603分
文章編號:69393425
宅就是顧家 wrote:兩個方向:
gfx大 我按照...(恕刪)
1.pptp連線後,在dos視窗先用ping 192.168.1.2 -t 持續的ping遠端不要關閉
如果A路由器是pptp-server ,您到A路由器的/ip firewall connection搜尋
src-address=192.168.101.200 dst-address=192.168.1.2 protocol=icmp連線...
打開訊息視窗注視下方reply-dst-address寫的地址(訊息視窗會很快關閉,請隨時做好準備截圖)
如果reply-dst-address的地址不是192.168.101.200 ,而是A路由器wan的地址.
那就是封包被誤送到wan了...
請在/ip firewall nat新增:
action=accept chain=srcnat src-address=192.168.101.0/24 dst-address=192.168.1.0/24
並拉至最上方置頂,這樣nat就不會對連線進行封裝了.
同樣路由器B也是,怕意外誤送wan所以在/ip firewall nat新增:
action=accept chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.101.0/24
同樣拉至最上方置頂
2.如果路由器A觀察到的reply-dst-address與src-address地址都同為192.168.101.200
並非是wan誤送的問題,但在路由器B /ip firewall connection都找不著
src-address=192.168.101.200 dst-address=192.168.1.2 protocol=icmp這筆連線...
那肯定是路由器/ip firewall filter阻擋了,沒把192.168.101.0/24設為開放.
把192.168.101.0/24加入開放的群組內吧.
順利的話vpn那端的電腦ping原本沒反應,會開始轉為回應成功.
3.特殊情況:
當192.168.101.200對192.168.1.2時ping沒反應 ,卻成功ping到192.168.1.1(路由器B Gateway)
那就不再是路由器IPSec的關係了,而是192.168.1.2桌機不允許192.168.101.200連接.
請進192.168.1.2桌機控制台內的防火牆,把192.168.101.0/24設為開放吧.
