[研究所] MikroTik RouterOS 學習 (持續更新)

pctine wrote:
可以參考之前 m01 網友分享的文章, 其實已經寫的非常清楚了.


這只是小問題而已,小弟來幫大家省掉一些搜尋的功夫。
憑證如果不是一般公認受信任的根憑證授權單位發行的話,在使用RouterOS SSTP時會有錯誤。
以小弟NAS自帶的憑證來測試,請注意這是"自我簽署憑證",而不是p大的那種"第三方憑證"


連線的結果會有錯誤訊息。


這在原廠回覆p大的訊息中已經有提到了,憑證必須是Windows認可的機構所發行:
"Note: If your server certificate is issued by CA which is known by Windows,

所以只要簡單的在CA憑證上點兩下,選擇"安裝憑證"。


選擇匯入到"受信任的根憑證授權單位",問題就解決了。
irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!

derliang wrote:
憑證必須是Windows認可的機構所發行:...(恕刪)


嚴格說起來倒也不能說是 Windows 認可的, 不過小弟也不會解釋啦!
FB:VoIP電話技術交流
Domain Name 購買及 SSL 憑證購買

前面幾篇介紹了有關 MikroTik Router SSTP 方面的實作, 為儘量使得 User 在連線時可以不要花費太多精神在安裝憑證上, 所以採用的並非 Self-Signed CA 此種憑證, 相對的就是 User 必須真正推有一個 Domain Name.

小弟建議可以直接購買國外的網址, 畢竟 .tw 的網址價格比起國外的貴了很多, 例如參考 godaddy, 常常都會有特價, 有時候一個 domain name 一年也不過幾塊美金. 雖然有不少的 DDNS 不用錢, 但畢竟提供的限制太多.

另外在 SSL 憑證的購買上, 像 startssl 是完全免費的. godaddy 也可以購買 SSL 憑證, 原價 us$69.99/year, 輸入 promo code, 只要 us$4.99/year, 很重要的一點, 就是購買後記得要把 auto-renew 關閉掉, 不然一年後可就會全額收費.

(參考這裡)
FB:VoIP電話技術交流
SSTP client to server 從憑證建立到設定詳解

前面一篇有提到 Mikrotik SSTP client to server 連線的做法, 但對於憑證部份僅是拿去年小弟在 startssl.com 所建立的憑證直接套用, 並未詳細說明其做法, 但似乎不少網友對於此一部份的疑問最多, 此處還是儘可能將整個過程紀錄下來供大家參考.

為何不用 openssl 建立 self-sign 憑證?
之前有提過, 小弟是懶人, 但你所服務的對象比你更懶, 要這些人匯入所謂的憑證並設定相關參數無疑是找自己麻煩, 與其如此不如在 server 端多做些事, 讓 user 更方便使用.

你需要什麼?
1.Mikrotik router 一台.
2.註冊一個 domain name.

由於這裡談的是申請一個由具有公信力的第三者憑證中心所簽署過憑證, 那麼擁有一個 domain name 是必要的條件, 這部份在網路上有很多非常便宜的 web hosting 服務商可申請, 甚至於可以僅申請 domain name, 一年僅幾塊美金, 還提供免費的 DNS 代管服務.

startssl.com 註冊
此處假設你已經擁有一 domain name, 且已有一台 MikroTik Router 連至 Internet.
IP: xxx.xxx.xxx.xxx
HOST: home.mydomain.com

於 DNS Server 代管也都做好的設定. 那麼直接至 www.startssl.com 網站. 選擇 Sign Up
所有資料請詳實填寫. email 處也必須正確無誤, 送出後系統會發送一封帶有驗證碼的郵件.


註冊網頁會提示你必須輸入正確的驗證碼才能完成註冊 (有時候系統會告知針對你的申請, 必須進入特別審核, 此時就靜待官方的 email, 通常是你所填的內容不完整, 希望你再補齊), 完成註冊程序時, 系統會自動在你的電腦安裝個人憑證, 這個憑證是日後你登入 startssl 所必須的, startssl 不利用帳號密碼進去管理界面, 完全是靠此處所核發的個人憑證, 請參見網站 FAQ 備份此憑證.

驗證 domain name
完成註冊後接著要驗證 domain name, 證明你是這個 domain name 的真正擁有者.
做法和前述的 email address 驗證相似, 輸入欲驗證的 domain name, 並至指定的 mailbox 收信並回覆驗證碼.


產生 server SSL 憑證
最後的步驟就是產生 RouterOS 所需要的 SSL 憑證.


做法有二, 一個是 user 自己透過其他工具產生 private key & 上傳CSR file, 另一種最簡單, 由 startssl 網站幫你直接產生 private key & 憑證. 經實作透過 RouterOS /certificate create-certificate-request 所產生的檔案, upload 至 startssl.com 是不被接受的, 理由是它的加密方式被認為不夠嚴格, 那麼省事些就直接用 startssl.com 幫我們自動產生吧.


接下來系統會要你將產生出來的檔案自己 cut 下來存檔, 就存成 server.key & server.crt 檔案即可. 產生出來的 private key 是加密過的, 需由網頁上的 toolbox > Decrypt Private Key 轉換成 RouterOS 可以接受的格式, 將前述產生的 private key & 所輸入的密碼輸入即可解密.

ok! 到這裡收工, 上面所產生的 server.crt憑證 及 private key 上傳至 routeros, 並於 system > certificates 匯入即可. 接下來的 SSTP server 設定就參考前篇即可((click here)

這是由公信力簽署的憑證, 只要安裝在 Mikrotik router 上就可以了, 那麼在 windows sstp client 就不用再大費週章做憑證匯入了.

ps: 在 Windows vista/7 SSTP client 連線的網址一定要跟你所申請的憑證 host name 完全相符,可不要用 IP 去連, 這樣可是無法通過驗證.
FB:VoIP電話技術交流
OpenVPN(OVPN) site to site VPN 實作

在 m01 上路由器版面很多前輩分享了 OpenVPN 的文章, 太多細節及技術方面的內容小弟在這裡就不多說明, 畢竟很多也是小弟不了解的, 這裡只將實作的結果分享給大家.

OpenVPN 官方文件

這裡用了兩台 MikroTik Router, 在 site to site VPN 裡一端是做為 OVPN Server, 另一端為 OVPN client.

OVPN Server side
Enable OVPN Server, 設為 ip mode (即為一般大家指的 tun mode, 為 layer3 模式), 另一個模式在 MirkoTik 為 Ethernet mode (對應至 tap mode, 為 Layer2 模式), 此處採用 ip mode. 至於 Certificate 的製作請參考前篇文章.


新增一 OVPN interface & 於 secret 建立一 user, Local Address & Remote Address 是做為 VPN 建立起來後兩端對接的 IP.


OVPN Client Side
OVPN client 端的設定就簡單多了, 主要是設定 OVPN Server IP, 及設定 ip route 至 server 端 subnet.


這樣就完成設定了, 到底是不是真的能 work? 去看連線狀態以及 ping 對方網段看看, 還真的通了.


說明
在 MikroTik router site to site OpenVPN, Server 端必須安裝憑證, 但 Client 端可以免安裝 (Require Client Certificate 不要打勾). 至於憑證的製作, 在 Mikrotik Router 似乎限制沒有那麼嚴格, 一方面 RouterOS 在 dial-out 端本來就只能透過 ip 來連線, 並無法直接輸入一 FQDN 網址, 自然無法真正去核對 common name(CN), 所以自行用 openssl 所產生的憑證也是ok的.

FB:VoIP電話技術交流
SSTP Client 整理

除了 Windows Vista & Windows 7 內建 SSTP Client 以外 (Windows Server 2008 可做為 SSTP Server), 就很少看到有支援 windows XP 的 SSTP client 程式, 僅有幾家 VPN Service provider 有推出專屬的 SSTP client for XP, 但因為無法自行指定 Server, 所以並無法使用.

至於 Mac 平台有一套 Easy SSTP for Mac 經試用確實是可以正常使用的.至於設定就相當容易, 只要填入 Server address, username & password 即可, 預設會把所有的流量往 SSTP VPN tunnel 送出. (click here), 售價 US$9.95,


今天剛好有朋友到上海, 在出門前幫他在 Mac 上設定了 PPTP VPN Client, 在台灣測試都 ok, 果不出其然人到上海就不能用了, 後來幫它安裝 EasySSTP, 連上台灣的 MikroTik Router, 總算能上 facebook 了!
FB:VoIP電話技術交流
SSH Tunneling client for Mac

Mac 平台可以使用 iSSH software. (click here)

下載直接執行. 接著再去網路設定指定 socks proxy 即可.


其他更多支援 Android, iOS...SSH Tunneling client 可以參考這裡:
更多 SSH Tunneling client
FB:VoIP電話技術交流
MikroTik RouterOS搭配ntop 查看流量
參考網址:wiki.mikrotik.com

實作後照片

不小心加太多個,請問如何刪除阿??



有很多統計實在太專業了
但是我要的只是一般分享器裡面有的即時流量,
才知道是哪台電腦流量吃比較兇,或是有沒有被隔壁鄰居借用太久!!

c8900219 wrote:
不好意思請問幾個問題
1.去http://ipv6day.tw/20helper.html他指出
無IPv6封包的路徑最大傳輸單位判定能力(Path MTU Discovery)
您無IPv6路徑最大傳輸單位能力,請洽您的ISP協助解決此問題。 你有出現此狀況嗎? 算什麼問題?...(恕刪)


不曉得你問題解決了嗎? 你有設 ipv6 firewall filter 嗎?
FB:VoIP電話技術交流
小弟也是最近才剛入手RouterBoard的一員

照著pctine大的教學設定L2TP/IPsec VPN Server後,

Windows、OSX、iOS Client都沒辦法連上



成功的只有PPTP和SSTP兩種
目前使用的是兩個固定IP,一個給家中網路使用,另一個專給VPN使用
目前L2TP/IPsec設定如下圖

winbox L2TP/IPsec設定

是不是有設定錯誤的地方?



圖中 vpn port forwarding 的部分是讓 VPN Client 可以跑P2P的設定,確定可以通喔

不過奇怪的是一定得設定成最前面一個IP才可以通!
例如兩個IP分別為8.8.8.8和8.8.8.9,dstaddress 一定要設定成 8.8.8.8 才有辦法過,否則只有VPN Client上面架的伺服器可以通,P2P類軟體全死。
評分
複製連結
請輸入您要前往的頁數(1 ~ 735)