電訊茶室's Archiver

角色 發表於 2018-6-20 15:20

MikroTik hAP ac² - 香港用WinBox逆方向login大陆private IP MikroTik router

香港用WinBox逆方向login大陆private IP MikroTik router

以前在大陆上网都是给你public IP,router就可以remote login,但是现在有IPv4的IP addresses短缺,所以很多ISP都是给你Private IP,那么在香港怎样remote login大陆的private IP MikroTik router呢?我们可以采用逆方向login,下面会具体set up:

在香港的MikroTik Router,你安装一个VPN server,让大陆的private IP router VPN client login香港的VPN server,有了这条link,就能把两边router连起来。在香港或者其他地方,用WinBox用不同的port number,用port forwarding and nat,通过那条VPN tunnel到达大陆的private IP的router。

大陆的Mikrotik Network是192.168.10.0/24, router IP 是192.168.10.1。

香港的MikroTik router installation part I:
Step 1: Enable PPTP VPN server[code]
/interface pptp-server server
set enabled=yes
[/code].

Step 2: Create PPTP VPN server for remote users to log in[code]
/ppp secret
add local-address=192.168.86.2 name=rm-wb1 password=123 remote-address=\
    192.168.86.254
[/code]到了这一步,大陆的MikroTik需要用PPTP login香港的router, 假如香港的full hostname:vpn.abc.org, user=rm-wb1, password=123

大陆MikroTik Router:[code]
/interface pptp-client
add connect-to=vpn.abc.org disabled=no name=pptp-rm-wb password=123 user=\
    rm-wb1
[/code].

在香港的MikroTik router interface,你会看到<pptp-rm-wb1>。如果看到就继续香港router第二部分安装。

香港的MikroTik router installation part II:

Step 1: Port forward and nat[code]
/ip firewall nat
add action=dst-nat chain=dstnat comment=MT-10 dst-port=8292 protocol=tcp \
    to-addresses=192.168.10.1 to-ports=8291
add action=masquerade chain=srcnat comment=MT-10 out-interface=<pptp-rm-wb1> \
    protocol=tcp
[/code].

Step 2: Static route[code]
/ip route
add comment=MT-10 distance=1 dst-address=192.168.10.1/32 gateway=<pptp-rm-wb1>
[/code]我们可以同WinBox,输入vpn.abc.org:8292,就可以进入remote private IP MikroTik router里。

现在用pptp,你也可以用SSTP,方式都是一样的。

用上面的方法有一个问题,就是大陆的router VPN client到香港VPN server,因为某种原因会中断,那么firewall nat需要调整一下,ip route也是。这个问题最好是有一个script去自动修改。

gfx86674 發表於 2018-7-1 13:29

修正您部份內容,設定不用這麼複雜!! 假設:
CN:192.168.20.0/24
HK:192.168.10.0.24

因CN是private IP,所以是CN(client)->HK(server)進行VPN撥號.

HK(server):
/ppp secret新增帳密時,就將routing新增進去
[img]https://i.imgur.com/TVfAcaD.png[/img]

[img]https://i.imgur.com/zoZvJPH.png[/img]

CN(client):
/ip route新增:
[img]https://i.imgur.com/DIQd01B.png[/img]

上述完成,HK的Router就能知道192.168.20.0/24是來自中國.
192.168.20.0/24就不必再透過NAT偽裝成VPN-Client地址(192.168.86.254)來進行翻牆.
也就是CN要透過HK翻牆,是不必設置NAT偽裝的(action=masquerade)

頁: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.