[研究所] MikroTik RouterOS 學習 (持續更新)

kti wrote:
有沒有大大能幫我看看...(恕刪)


請問 192.168.88.100 有找到這台設備 or 電腦嗎? or remote dial-in?
FB:VoIP電話技術交流
動動腦, 下面那篇寫錯了?

最近研讀的速度變慢了, 大多在看有關 VPN 相關的設定, 以下兩篇文章, 當初看的時候就覺得怪怪的, 總覺得範例的內容有誤, email 原廠說文章好像那裡有寫錯, 結果原廠回覆文章都是對的, 想必是小弟的觀念有誤.

http://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP

ps: 經再次和原廠確認, 在L2TP site to site VPN route 設定確實有誤, 在今天已經修正過了.
FB:VoIP電話技術交流
一路看下來,好像沒人用SSH Tunneling的功能。

我試了一下,在/ip ssh裡面去set forwarding-enabled=yes,然後在Putty裡面加上Dynamic Port的設定,看起來遠端連回來透過Routerboard上網是可行的。

但問題來了,網路會一下子通一下子卡,用WinBox看log,每隔一陣子就會有ssh,error. Connect failed: Connection timed out發生。之前用Wifi AP刷tomato,設定SSH Tunneling來上網一直都是很順暢的,不知道RouterOS為何會有這樣的問題。
harrykuo wrote:
一路看下來,好像沒人用SSH Tunneling的功能。...(恕刪)


實測了一下, 並沒有發生你所提的狀況, 透過 youtube 網站去測, 效果還蠻不錯的. 不過用中華電信上 youtube 還是用IPv6 最快啦.

SSH Tunneling - 另一個翻牆的方法

其實小弟也不曉得什麼是 SSH Tunneling, 感謝 harry 兄的分享, 小弟才去 google ssh tunneling, 更理論的東西大家可以 google, 這裡就不浪費篇幅.

這裡假設你家中有一台 Mikrotik router, 你出門在外, 尤其是指深陷管制區, 某些網站不給你上, 那麼利用 ssh 和你家中的 MikroTik router 建立一 tunnel, 再從你家中的網路繞出去, 用來突破封鎖.

做法如下:

開啟 MikroTik router ssh service, 並開啟 ssh forwarding 功能.


接著你人在外面, 下載 putty 連線軟體, 於 SSH > Tunnels 設定如下. 這只是一個範例, 61.219.36.120:80 是 Hinet proxy server, 所指的是透過 ssh tunnel, 直接導到 hinet proxy 連線出去(記得要按Add), 設定好之後就透過 putty 連上 router. 給它擺著, 因為此時 ssh 連線已建立, 這就是我們等一下要用到的通道.


進入 ie, 設定 proxy 指向 local host, 而 8087 port 就是前面在 putty 所指定的, 這樣利用 ie 上網, 就會透過剛才建立的 ssh tunnel 導到 MikroTik router 出去.


當然也可以不用透過 hinet proxy server, 在 putty 設定如下.


於 ie 中 proxy 設定為 Socks 連線, 這樣做也很簡單.


其他
1.這裡指的都是 ssh 連線沒有被 block 的情況, 但如果貴單位管制更嚴格, 那麼乾脆把 router 上的 ssh service 改用 80 port, 這樣做也是可以的, 但如果連 80 port 也沒有開, 就不要考驗 MIS 的耐性, 乖乖的上班吧. (因為 MIS 用 layer7 filter 還是抓的出來 ssh 連線).

2.反向 ssh tunneling
3.SSH Tunneling for Mac
FB:VoIP電話技術交流
請問 ROS 的 socks 5 proxy 要如何架設 ?
Cappella wrote:
請問 ROS 的 s...(恕刪)


support socks v4 only.

FB:VoIP電話技術交流
SSTP - Remote Dial-in 實作 (client 端免憑證)

之前介紹過透過 SSTP 建立 site to site VPN, 而一直未碰觸 OpenVPN & SSTP remote client 的議題, 主要是憑證的問題, 雖然很多前輩介紹了利用 OpenSSL 及 Easy RSA 製作憑證, 但小弟是很懶的人, 一看到要那麼多步驟就乏了, 況且 client 還要再匯入憑證也著實麻煩.

無意中看到了一個有關 StrongVPN SSTP client 的設定方式. (click here)

為何它的設定那麼簡單? client 端不用匯入憑證? 小弟對於這些所謂 Certificates 是外行, 看了 MikroTik 原廠文件

官方文件: SSTP

其實是沒有很仔細看, 因為看圖比看字快, 但有看沒有懂, 所以直接寫了一封 email 問原廠怎麼做? 呵! 原廠客服回的還真乾脆, "所有該有的內容都在那篇原廠 SSTP 文件中!".

小弟又回來看了一遍文件....
"Note: If your server certificate is issued by CA which is known by Windows, then Windows client will work witout any additional certificates."

客服說的沒有錯, 只怪我沒有仔細看, 原來人家都寫的很明白了.

實作如下:
1.Client 如何設定? 這裡不多說, 請參考前面那個 StrongVPN 的詳細圖文解說, 沒有幾個步驟, 主要就是輸入 VPN Server IP, 帳號密碼之類的. 跟設定 PPTP 一樣, 只是把 VPN Type 設為 SSTP.

2.SSTP server 怎麼設定? 重點在 server 端憑證的產生及簽署, 小弟想起來去年在 NAS 上就做過了, (請參考這裡)

直接從 NAS 將之前做的憑證 export 出來, ca.crt, ca.key, server.crt, server.key


在 RouterOS system > certificates 匯入.


啟用 SSTP server, 並於 secret 建立 user 帳號. (怎麼配置 dhcp pool 就不再詳述, 做法都一樣, 請參考前面 PPTP Server 一篇)


ok! 這樣就完工了. 利用 windows 7 sstp client 連上去看看! 成功!


結語
1.Windows 7 內建 SSTP client, 在設定上和 PPTP client 一樣簡單易用, 而它利用 SSL 來連線, 被 block 的機會比 PPTP & IPSEC 小的多了, 要拿來爬牆及翻牆應該更適合.

2.Server 端 SSL 憑證如何產生? (請參考此篇)



FB:VoIP電話技術交流

pctine wrote:
Windows 7 內建 SSTP client, 在設定上和 PPTP client 一樣簡單易用, 而它利用 SSL 來連線, 被 block 的機會比 PPTP & IPSEC 小的多了, 要拿來爬牆及翻牆應該更適合.


感謝P大分享。
其實剛好DSM 4.2多了一個製造自己憑證的功能,使用上很是簡易:)
但是自己製造的憑證因為不是公認的公正單位發行的,所以使用上還是會有問題。
小弟測試的結果是必須先在Windows7下,將自己製造的憑證匯入到信任的根憑證中才能成功SSTP。
這方面就還請P大再為我們補充一下:)
irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!
pctine wrote:
除非你有很多 cli...(恕刪)

謝謝大大,我嘗試什麼樣的接法比較適合,
因為剛開始接觸RouterOS,很多時候也不知道怎麼做比較適合。

經過幾天的努力,在論壇上看到解答,
在bridge設定admin-mac就不會斷線了。
http://forum.mikrotik.com/viewtopic.php?f=14&t=63405

derliang wrote:
小弟測試的結果是必須先在Windows7下,將自己製造的憑證匯入到信任的根憑證中才能成功SSTP。...(恕刪)


可以參考之前 m01 網友分享的文章, 其實已經寫的非常清楚了.
FB:VoIP電話技術交流
評分
複製連結
請輸入您要前往的頁數(1 ~ 735)