EOIP - SSTP
最近在中國買了智能電視回港,上網不能看電視。沒有辦法,Policy Route 太麻煩,找到以前的link. 再來一次 用EOIP。[url]http://www.telecom-cafe.com/forum/viewthread.php?tid=6548&extra=page%3D4[/url]
在香港:
加 SSTP server 在 HK -
[attach]3816[/attach]
加 EOIP Tunnel
[attach]3817[/attach]
將 TV 的 Ethernet 連到 Ether 5,將 Ether 5 Master Port 變成 None
[attach]3818[/attach]
加 一個 EOIP Bridge 連到其他Device (Eoip+Ether5),
[attach]3819[/attach]
在EOIP Bridge加上 Ether5
[attach]3820[/attach]
在EOIP Bridge 加上 EOIP port
[attach]3823[/attach]
在香港加Virtual AP
[attach]3821[/attach]
將Virtual AP 連到之前的 EOIP bridge.
[attach]3822[/attach]
在香港的中國電視能看到大陸的電視劇,Vitual AP 加能連到 大陸的IP。
想問問如何Set VLAN? 還有做完Winbox 不能連到中國Router 想知道如何Set VLAN在EOIP overt SSTP? 有沒有例子? [i=s] 本帖最後由 gfx86674 於 2017-1-22 19:48 編輯 [/i]
最近試l2tp發現遠比sstp好用.
l2tp-client點pap,不勾選ipsec驗證(純l2tp連接)竟可直連中國...且順暢到濠洨不可思義{:5_265:}
開啟ipsec加密驗證 ,l2tp反而慢還會不穩瞬斷...有夠扯. [i=s] 本帖最後由 gfx86674 於 2017-1-23 00:58 編輯 [/i]
[quote]想知道如何Set VLAN在EOIP overt SSTP? 有沒有例子?
[size=2][color=#999999]yiucsw 發表於 2017-1-22 18:18[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43454&ptid=6997][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
[attach]3829[/attach]
透過bridge直接將eoip與vlan橋接即可,沒什麼特別的{:5_254:} 请教, 既然已经用了VPN (i.e. SSTP)翻墙, 那么 EOIP overt SSTP 有什么好处? EOIP 是否可以作为另外一条翻墙通道? [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43461&ptid=6997]5#[/url] [i]vpn-learner[/i] [/b]
layer2與layer3翻牆的差別.
layer2 資料連結層,在區網內部主要是透過Media Access Control(MAC)達到資料轉送跟交換
layer3 網路層,也就是看IP的一層,只要設備的IP 與 子網路遮罩經過計算,不是在同一段裡面,就得透過路由器轉送
若要簡單說明,即透過eoip連接的電腦,會以為是接在遠端的switch上.
只要不從router上查幾乎無法察覺任何徵像...
而sstp路由代理,電腦路由就和代理前一模一樣.只不過封包送到router後,經router的策略往vpn送.
所以遇到些會檢驗區域碼的影音網站,如:搜狐
就算用sstp代理翻網一樣會無法瀏覽,因為網站知道您的地域還是在中國以外的區域;
但透過eoip就電腦整個偽裝成中國用戶,搜狐也就無從阻攔您的瀏覽了. [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43462&ptid=6997]6#[/url] [i]gfx86674[/i] [/b]
再请教, 如果纯粹用EOIP 翻墙 (不用SSTP), 效果又会如何? [quote]回復 gfx86674
再请教, 如果纯粹用EOIP 翻墙 (不用SSTP), 效果又会如何? ...
[size=2][color=#999999]vpn-learner 發表於 2017-1-23 12:08[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43463&ptid=6997][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
少了sstp禁錮,eoip的表現當然會更好.
但eoip是用gre的封包在傳遞,過不了中國長城這一關(pptp也是gre傳遞,所以在中國無用處).
只好委屈它躲在sstp內傳遞囉 (多經了sstp加密/解密,拉長了傳遞時間)
eoip本身也是有提供ipsec加密傳遞,作用和藏在sstp相同,變相藏在ipsec內傳遞.
但若能不加以隱藏,純粹eoip傳輸效能才是最棒的. 谢谢师兄, 找到这个论坛,我真是获益良多! EOIP 對我們重要是;
1) Ether 5 直接NowTV,HKTV super 在中國看。
2) Ether 5 直接連中國電視。不用Set 太多Policy。。。。
3) Virtual AP (一個特別的 SSID) 直接連 香港,香港派IP, DNS 沒有DNS的問題。 我怕將所有的Traffic 到Bridge 到中國? 是加Bridge Filter,VLAN, 還是分Lan Segment來解決這個問題?
想問我現在想分兩個IP LAN Segment, 一個給在中國的Virtual AP, Ether5, 一個在本地香港用,
如何設置? 兩個DHCP?
現在是兩個EOIP 一個是在中國取到香港IP,在香港EOIP Interface 加到Bridge到,
一個是在香港取中國IP,在香港加EOIP interface 加到 Bridge。
是不是太複雜?有沒有簡單點的方法? [i=s] 本帖最後由 gfx86674 於 2017-1-23 22:17 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43473&ptid=6997]11#[/url] [i]yiucsw[/i] [/b]
若您想做的是layer3 ,就不要去想layer2的eoip.
使用eoip註定就是往server的方向交換封包.
若您想有保有router地址判段的優勢,就待在sstp這區塊就好.
您可以將dst-address=0.0.0.0/0 (default route)的gateway換成sstp-out1 ,
然後非china的地址才改透過路由策略改使用isp連結,就這樣. 请问:(如图)
[attach]3834[/attach] [i=s] 本帖最後由 gfx86674 於 2017-1-26 02:35 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43480&ptid=6997]13#[/url] [i]vpn-learner[/i] [/b]
可以,很久以前就可以了.
只不過早期的ros版本會自動幫您轉成ip ,
但轉成ip後 ,下次server的地址浮動後就又連不到遠端了,
因為與connect-to記錄的不同 ,connect-to還是上一次的舊地址,並沒有跟著更新.
所以早期的ros要持續穩定的使用vpn-client ,得需script配合.
而6.x版本後的vpn-client ,ros就不再多事幫您轉成ip (可能被用戶投訴多了;P )
所以connect-to仍可輸入ddns使用 ,但不必再擔心地址浮動的問題. 剛改在香港的中國電視機連到中國網絡。
改了L2TP,好像穩定下來,沒有幾少時斷開網絡一次。
還有將TV的IP改成Static 的中國, 大大改善網絡連接時間。
想爬文改用Mikrotik 內的DNS,從VPN找DNS, update 到 Static DNS. 有沒有範文能參考?
主要是VPN 常斷線。
要是能將IP cloud 的DNS更新到中國的Mikrotik 的Static DNS, 那連DDNS 都不用。 [i=s] 本帖最後由 gfx86674 於 2017-2-1 01:03 編輯 [/i]
[b]回覆 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43493&ptid=6997]15#[/url] [i]yiucsw[/i] [/b]
VPN是雙向的,只要有VPN連接成,兩端都可以借這個隧道相互翻牆.
[b]若是從香港 撥往中國 ,香港router的設置:[code]/ip firewall mangle add action=mark-routing chain=output dst-port=15252 \
new-routing-mark=to_cn passthrough=no protocol=udp
/ip route add distance=4 gateway="l2tp-out1" routing-mark=to_cn
/ip firewall nat add action=masquerade chain=srcnat \
comment=l2tp-out-cn out-interface="l2tp-out1"
[/code][/b]
[b]
若是從中國 撥往香港 ,香港router的設置:[code]/ip firewall mangle add action=mark-routing chain=output dst-port=15252 \
new-routing-mark=to_cn passthrough=no protocol=udp
/ip route add distance=4 gateway="<l2tp-cn>" routing-mark=to_cn \
comment=l2tp-in-cn
/ip firewall nat add action=masquerade chain=srcnat \
comment=l2tp-in-cn out-interface="<l2tp-cn>"
[/code]除此外,還需在/system scheduler新增script:
[attach]3844[/attach][code]:local cn [/interface find name~"^<l2tp-cn"]
:if ([:len $cn]>0) \
do={
:if ([:len $cn]>1 || ([:len $cn]=1 && [/interface get $cn name]!="<l2tp-cn>")) \
do={:foreach i in=$cn do={/interface l2tp-server remove $i} ; :delay 2s}
:delay 10s
:local route [/ip route find comment="l2tp-in-cn"]
:local nat [/ip firewall nat find comment="l2tp-in-cn"]
:if ([/ip route get $route gateway]!="<l2tp-cn>" \
|| [/ip firewall nat get $nat out-interface]!="<l2tp-cn>") \
do={/ip route set $route gateway="<l2tp-cn>"
/ip firewall nat set $nat out-interface="<l2tp-cn>"}
}
[/code]設置完,香港router的/ip cloud就能為中國router更新中國地址.
[/b] 對不起我對Script 不認識,看了一會還是不明白。
/interface find name~"^<l2tp-cn" 是找L2TP-CN 的名字?
是從FDQN 的Dynamic DNS變成IP Address? [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43500&ptid=6997]17#[/url] [i]yiucsw[/i] [/b]
~是使用正則表達式比對 ,"^"是只比對字串開頭符合條件的.
[attach]3845[/attach] [i=s] 本帖最後由 gfx86674 於 2017-2-1 21:44 編輯 [/i]
有時候若clients重覆登入同一個帳號,會發生這樣的情況.
[attach]3847[/attach]
這樣會讓我們做site to site時出現困擾,所以要透過script阻止這樣的現象產生.
[attach]3846[/attach] 謝謝,不知道原因,但發現L2TP支持EOIP有點問題,從SSTP 改到L2TP, EOIP tunnel 是沒有辦法Route Traffic。
在DNS的想法是: 在中國的Mikrotik 每60分鐘通過VPN 將 香港Mikrotik的 WAN 地址複製到 中國 Mikrotik 的 StatiC DNS,用 xxxx.sn.mynetname.net。 要是解開的地址不在香港(污染),那要從新找DNS的地址。 [i=s] 本帖最後由 gfx86674 於 2017-2-2 17:19 編輯 [/i]
[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43503&ptid=6997]20#[/url] [i]yiucsw[/i] [/b]
eoip這點小弟不清楚 ,小弟在台灣也是將eoip建置在l2tp內,
[attach]3848[/attach]
但小弟在對岸沒有router可連結,無法得知可否穿越GFW.
您可觀察是否有/ip firewall connection是否有gre封包在進行傳遞
(eoip與pptp同,是利用gre封包進行傳輸)
若是/ip firewall connection列表裡無gre連線,那可能真又在GFW卡關.
只能改在加密的sstp或ipsec裡建置eoip了. 再看L2TP穿越GFW, 幾乎常斷,所以是不能用穿越。
想加Vitural AP (VAP) 但想在中國派另一組IP address 嗎,如何連到EOIP。 能知道如何設定嗎?
通過EOIP到香港DHCP server 拿IP 會太慢。
頁:
[1]