Router OS 和Synology L2TP IPSEC的設定

大家好,目前我是MikroTik RouterOS RB450 撥接光世代上網,
於RB450後面有裝一台Synology NAS,
並且利用NAS裡面的VPN功能給在大陸的朋友翻牆使用,
目前PPTP的連線方式設置可以連線沒有問題,
但是因為iphone目前已經取消PPTP VPN的功能,
所以最近在嘗試使用L2TP/IPSec來做VPN連線,
但是一直試不出來,
我想應該是RouterOS中的Firewell/NAT的設置出了問題,
但是網路找到的大多是用RouterOS當VPN的設置,
幾乎沒有看到在RouterOS後的設備使用VPN的設定方法,
不知道有沒有人有試過,可以指點一下該如何設定嗎?


2017-02-28 13:56 #1

sent3 wrote:
大家好,目前我是Mi...(恕刪)


Firewall & NAT要開UDP 500、UDP 1701、UDP 4500這三個port
讓外網可以進到內網

假如你是要做跳板的話
firewall也要允許vpn的網段可以出wan
不然firewall應該可以不用去動

l2tp/ipsec 不能改port ,所以router與dsm的l2tp/ipsec vpn您只選一主機使用.

若想兩個主機的l2tp/ipsec vpn都對外開放,您的router就必需設定兩個撥號各別對應.
如果我的Router OS IP是192.168.10.1,NAS的IP是192.168.10.79,
如果僅使用NAS的L2TP/IPSEC功能的話,我應該怎麼設定呢?
IP-Protocol 47,50,51需要添加嗎?
底下是我目前Firewall和NAT的設置:

sent3 wrote:
如果我的Router...(恕刪)
您目前的設定一點都沒錯,照舊即可.
但多設了這會更好:

這含意代表外部連接到router的pppoe-out1地址後,
改連接到to-addresses注記的nas地址去;

若沒加也沒關係,只不過含意會變成不管外部連接的是什麼地址,
只要連接的是udp port:1701,500,4500 ,都一律轉往to-addresses注記的nas地址去.
終於搞定了,除了上面的設定外,
IP-Protocol 47,50,51都不用設定,
再把NAT中原先設定的Hairpin給關閉,改用static DNS,
到這邊iphone就可以使用L2TP連上了,
最後再到synology的VPN設定中將"啟動SHA2-256相容模式(96bit)"打勾,
Android也能用L2TP/IPsec連線了。
Makii wrote:
Firewall & NAT要開UDP 500、UDP 1701、UDP 4500這三個port
讓外網可以進到內網

假如你是要做跳板的話
firewall也要允許vpn的網段可以出wan
不然firewall應該可以不用去動


您好!
請問透過 VPN 當跳板連外,RouterOS 的 Firewall 要如何進行設定呢?

目前已開啟 Synology NAS 的 L2TP/IPSec VPN Server
動態 IP 位址:10.2.0.0 ~ 10.2.0.255

而 RouterOS 也設定好 IP Forwarding
UDP 1701、500、4500 皆映射到內網的 NAS IP 上

使用 iPhone 也可以正常使用 4G 網路連上 VPN
也可以存取內網中的主機
但就是唯獨無法在 VPN 連線狀態下連上外網

希望有板友可以指導
謝謝!

jackblackevo wrote:
您好!請問透過 VP...(恕刪)



你有啟用ios中VPN設定裡的『轉送所有流量』嗎??
如果有的話,你必須先確定,當你連上你內網中的設備時,看到的ip address是vpn的發送給你的IP
還是synology nas上的ip...
如果你內網的設備看到的是iphone拿到的ip..就表示synology的vpn server bug
正常應該會幫你做一次ip轉換...

如果看到的是nas的ip..表示nas的設定沒問題..
接下來..就要確認routeros的firewall為何會擋住你的nas上網
建議先檢查是不是routeros有限定ip才能上internet或是nas被限制僅開放某些port才能通過..
如果有...記得將nas的ip加入全開的outgoing rule
如果沒有...請先確認nas可連上internet..

假如nas可以正常連上internet..
記得檢查一下synology自己本身的firewall rule有沒有限制vpn server裡設定的網段可以連通到外網
詳細的設定,請參考DSM防火牆設定

突然想到..用你的iphone上的瀏覽器可以開啟210.65.0.71(中央氣象局)這個網站嗎??
如果可以開起..那就是你的synology vpn server沒有指派dns資訊給iphone
到vpn server上勾選『手動設定 DNS』並填入『8.8.8.8』
這樣應該就可以用cwb.gov.tw連上中央氣象局的網站了..

最後...
我必須說...我剛好都沒有這兩項設備..
所以,以上的說明都是憑個人經驗猜的~~



不太瞭解router os, 請問router os沒法設成l2tp的vpn server嗎?
還要使用nas的vpn server套件?

eugenelu wrote:
不太瞭解router...(恕刪)

可以的。
限制級
您即將進入之討論頁 需滿18歲 方可瀏覽。
提醒:內容可能因過於寫實、驚悚而令人感到不舒服,是否繼續觀看?

根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於該限制級網頁,依台灣網站分級推廣基金會規定作標示。
評分
複製連結