[研究所] MikroTik RouterOS 學習 (持續更新)

seawind

37分

7461樓

seawind

個人積分：37分

文章編號：78579821

請教各位先進，昨天停電後我的MikroTik就變成可以連FB、GOOGLE等網站，但像LINE和yahoo等網站和服務就無法連線到，請問可能會是哪裡有問題呢？（已經試過直連到中華電信的數據機，是可以正常看到網站的）也確認有自動校時成功。

top100011

2038分

7462樓

top100011

個人積分：2038分

文章編號：78615076

上次 GFX 有幫小弟解決了內網連接本機自設3組固定外部IP問題了
真的感激不盡

這次想再請教一下，我的 RouterOS 架好 PPTP SERVER 後
外部電腦 PPTP Client 連進來後，也確實可以存取 RouterOS 下面的區網電腦
那不知道 RouterOS 下面區網電腦是否可以連到外部 PPTP 連進來的那台電腦共享資料呢？

如果可以的話
那假如 RouterOS 是A點
PPTP client B點連到 A後
PPTP client C點也連到 A後

B 跟 C 的電腦共享可以互抓共享資料嗎？

目前還沒有這個需要，只是想問下不知道有沒有辦法這樣使用
可以的話要用很多東西就比較方便了

如果可以的話，不知道各位先進是否能教導一下設置方式呢？
(B 跟 C 都是單獨電腦，前端就是簡單分享器而以)

Robin Kuan

14分

7463樓

Robin Kuan

個人積分：14分

文章編號：78626507

請問有沒有人遇過
ROS kid-control 開啟了
防火牆的Rules 也確定有
But 先限制上網的設備，確實無法上網 Line 等等
唯獨 Facebook messenger 竟然會通，依舊可以傳訊息接收訊息。
這個有人有遇過嗎?

我用軟路由的 ROS 版本6.47

pomolio

207分

7464樓

pomolio

個人積分：207分

文章編號：78644676

gfx wrote:
pppoe-relay(恕刪)

想請問這個做法,是跟此教學是同一種嗎?

a6595085

179分

7465樓

a6595085

個人積分：179分

文章編號：78653217

Robin Kuan wrote:
請問有沒有人遇過ROS(恕刪)

請問你有在區網配發ipv6嗎?
如果有的話很可能FB Messenger是透過ipv6出去，因此能迴避掉上網限制。

Robin Kuan

14分

7466樓

Robin Kuan

個人積分：14分

文章編號：78656682

a6595085 wrote:
請問你有在區網配發ipv6...(恕刪)

沒錯！我有在區網配發IPV6

如果是這樣，是不是沒有其他方式可以解決

a6595085

179分

7467樓

a6595085

個人積分：179分

文章編號：78661518

Robin Kuan wrote:
沒錯！我有在區網配發IPV6...(恕刪)

我覺得可以，你試試看把那台裝置的MAC紀錄在ipv6->fliter rule的地方，
建立一條output，

然後在Src. MAC Address的地方寫入要封鎖那台裝置的mac address，

rule選擇drop。

理論上這樣的操作應該可以過濾掉該裝置出去的ipv6封包，全部丟棄。

NeverGiveUp!!

55067分

7468樓

NeverGiveUp!!

個人積分：55067分

文章編號：78798748

人品是做人最好的底牌．

ouchwe

68分

7469樓

ouchwe

個人積分：68分

文章編號：78892282

無意見看到此篇文章
https://saputra.org/threads/mikrotik-fasttrack-with-ipsec.34/
文章內說IPsec連線無法使用Fasttrack
Fasttrack會導致IPsec連線不穩定
必須另外設置防火牆規則
/ip firewall mangle add action=mark-connection chain=forward comment="mark ipsec connections" ipsec-policy=out,ipsec new-connection-mark=ipsec
/ip firewall mangle add action=mark-connection chain=forward comment="mark ipsec connections" ipsec-policy=in,ipsec new-connection-mark=ipsec
和
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related connection-mark=!ipsec
/ip firewall filter add chain=forward action=accept connection-state=established,related

不過官方wiki是這樣寫的
if you have IP/Fasttrack enabled, packet bypasses IPsec policies. So we need to add accept rule before FastTrack.

/ip firewall filter
add chain=forward action=accept place-before=1
src-address=10.1.101.0/24 dst-address=10.1.202.0/24 connection-state=established,related
add chain=forward action=accept place-before=1
src-address=10.1.202.0/24 dst-address=10.1.101.0/24 connection-state=established,related
However, this can add significant load to router's CPU if there is a fair amount of tunnels and significant traffic on each tunnel.

Solution is to use IP/Firewall/Raw to bypass connection tracking, that way eliminating need of filter rules listed above and reducing load on CPU by approximately 30%.

/ip firewall raw
add action=notrack chain=prerouting src-address=10.1.101.0/24 dst-address=10.1.202.0/24
add action=notrack chain=prerouting src-address=10.1.202.0/24 dst-address=10.1.101.0/24

請問有先進研究過這部份嗎?
大家都用哪種方式呢?
我是用firewall raw方式,犧牲追蹤
提升IPsec連線效能降低CPU損耗

pomolio

207分

7470樓

pomolio

個人積分：207分

文章編號：78938830

請教各位
最近ROS做單線雙撥,pppoe-out1(浮動)、pppoe-out2(固定)
桌機走pppoe-out1、監視器接ether5走pppoe-out2
設定端口轉發,外網看監視器也都正常,

目前想把監視器隔離,新增一組bridge加入ether5並指派新網段ip,
但是監視器外網就看不了,不知哪裡有規則沒做到... orz

[研究所] MikroTik RouterOS 學習 (持續更新)

小惡魔新聞台

小惡魔廣編特輯

[研究所] MikroTik RouterOS 學習 (持續更新)

小惡魔新聞台

小惡魔廣編特輯

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！