yiucsw

回復 15# gfx86674
想問問如何知道Traffic 是通過BCP 還是 IP layer 3 routing?
可能IP 是Route 進不到BCP bridge. (沒有set SSTP IP 地址時）

gfx86674

回復  gfx86674
想問問如何知道Traffic 是通過BCP 還是 IP layer 3 routing?
可能IP 是Route 進不到BCP br ...
yiucsw 發表於 2018-3-6 04:16

traffic是layer3 routing，用的是sstp-tunnel的地址;只有裝置使用ethernet時才會是layer2。

用您熟悉的在interface設192.168.cn.x或192.168.hk.x也行，但一樣是layer3 routing。

yiucsw

回復 11# passby
通過BCP
網路是中國移動50M，HKBN300M，到香港HGC     
speedtest - 3Mbits upload/download. latency 25ms.


vowifi 沒有問題。
不通過BCP
speedtest - 52.6Mbits download/6.42Mbits. latency 14ms.

passby

回復 18# yiucsw

多謝資料!

yiucsw

在Bridge 哪裡，ARP 是不能Set Proxy-arp, 只能set Enable. （同BCP 的文章不同的地方）

以下是文章：
https://forum.mikrotik.com/viewt ... mp;p=619402#p619402

alti

用SSTP 的話
設定Force AES 會不會比較易斷?

還是用預設的RC4是最好的?

carlchan

    Let me try try ...

角色

现在大陆block VPN到香港非常厉害，用传统的VPN根本随时出事，连香港的IP都block死。

gfx86674

SSTP-BCP:

client:可以對192.168.32.1(RouterA)與192.168.32.114(PC)試ping
server:可以對192.168.32.126(RouterB)試ping

BCP建立後 ,Server與Client端在/ip arp都會有相同mac-address紀錄

yiucsw

可以說明一下嗎？
RouteB 是192.168.32.126，還有沒有其他IP 地址？
DHCP 的設定？ 只有一個DHCP，還是兩個DHCP？ 如何分離？
中國PC 對中國網站不翻牆，如何設定？
能有詳細的說明嗎？

gfx86674

回復 25# yiucsw
RouterA(vpn-server)只有一個bridge-lan(name=bridge) ,網域是192.168.32.0/25


<sstp-bcp>只有當vpn用戶端連線成功時,才會自動加入bridge

RouterB(vpn-client)有兩個bridge ,
分別內部的bridge-lan(網域192.168.88.0/25),與bridge-bcp(橋接sstp-bcp與eth5)


sstp-bcp只當vpn連線成功時,才會自動加入bridge-bcp

RouterA(sstp-server)設置:
/interface sstp-s  server


/ppp profile新增:


/ppp secret新增:


RouterB(sstp-client)設置:
/ppp profile新增:


/interface sstp-c 新增:



/ip address 將bridge-bcp加入RouterA的網域:

將bridge-bcp定義ip為192.168.32.126/25
＃即使bridge-bcp沒定義192.168.32.126/25也不影響BCP連線
#但設置可方便RouterB管理者用ping驗證,是否與RouterA連接上.

以上完成BCP的步驟, 只要RouterB的eth5接上裝置,
就會橋接至RouterA ,與RouterA的裝置處在相同的網段,相同的網路環境.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
以上....若RouterB在中國 ,RouterB的eth2-eth4的裝置可否借BCP翻牆?

可以的,但您要讓RouterA(香港)先知道有192.168.88.0/25這個網段
在RouterA(香港) /ip route新增:

這樣RouterA就知道了192.168.88.0/25是與192.168.32.126有關聯的

再來是RouterB(中國)的翻牆設置,首先您要將CN的ip的清單匯入RouterB...
步驟可參考http://www.telecom-cafe.com/forum/viewthread.php?tid=7047&extra=page%3D2


在RouterB(中國)的/ip firewall mangle新增:




這樣翻牆設置就完成了,不需像一般policy route再設置Route與NAT

yiucsw

/ip address 將bridge-bcp加入RouterA的網域
是在 RouteB Bridge assign Route A的 IP address =192.168.32.126/25.
为什么是 /25？

gfx86674

回復 27# yiucsw
sstp連線一定會有local/remote-address ,兩邊都是...

橋接interface是sstp附加的,
也就是不管有沒有開bcp橋接interface,一點也不會改變原來sstp舊有的路由能力.

我可以使用sstp的(192.168.0.246/192.168.0.240)橋接192.168.88.0/25與192.168.32.0/25 ,

不過我想說既然用bcp將本地橋接到遠端了,
那我可將本地bridge-bcp定義個地址192.168.32.126 ,這樣本地的router就和遠端是同網段了.
192.168.32.0/25與192.168.88.0/25即父與子路由關係,不必經192.168.0.246/192.168.0.240仲介.

不是說192.168.0.246/192.168.0.240仲介不好,我只是提個樣版給您參考,這也是個方法!!

另外192.168.32.0/25 為何用是25 ,非24?
這是遮罩表式法:
/24 (subnet:255.255.255.0)=> 192.168.32.0-192.168.32.255
/25 (subnet:255.255.255.128)=> 192.168.32.0-192.168.32.127

所以
192.168.32.0/25(192.168.32.0-192.168.32.127)+ 192.168.32.128/25 (192.168.32.128-192.168.32.255)
=192.168.32.0/24 (192.168.32.0-192.168.32.255)

也因家裡的電腦沒這麼多,為了方便管理所以故意將遮罩切小.
/25 (subnet:255.255.255.128)=> 192.168.32.0-192.168.32.127
/26 (subnet:255.255.255.192)=> 192.168.32.0-192.168.32.63
/27 (subnet:255.255.255.224)=> 192.168.32.0-192.168.32.31
/28 (subnet:255.255.255.240)=> 192.168.32.0-192.168.32.15
/29 (subnet:255.255.255.248)=> 192.168.32.0-192.168.32.7
/30 (subnet:255.255.255.252)=> 192.168.32.0-192.168.32.3
/31 (subnet:255.255.255.254)=> 192.168.32.0-192.168.32.1
/32 (subnet:255.255.255.255)=> 192.168.32.0

您或許會問為何不用pool來控制dhcp-server配發ip的範圍?

您應該知道vpn的網段要與lan網段要分開,路由表才不會衝突.
vpn用戶端才能連結server端的伺服器(否則就要開proxy-arp偽裝成router地址)

但我希望lan-pool與vpn-pool都在192.168.32.0/24 ,我該怎麼做?
答案是lan用192.168.32.0/25 ,vpn用192.168.32.128/25 ,

即將192.168.32.0/24切割成兩個網段不就解決了嘛.希望這有幫到您

yiucsw

謝謝！ 用你的方法更快建立BCP。
已setup ocserv, 不用BCP 很久。
最近要setup local VPN HK-HK.  再看你的文章，每看一次都能学习新的技术。

yiucsw

回復 26# gfx86674

現在中國的網站會看看是不是本地的網路。例如京東。所有要VPN 到中國。

想問 相反方向如何處理？
RouteA 的 WLAN1/Ether5 VPN 到 中國。