123
返回列表 發帖
gfx86674

Rank: 1
16# 跳轉到 »
發表於 2018-2-24 23:40 | 只看該作者
本帖最後由 gfx86674 於 2018-2-24 23:57 編輯

1.請將bridge的fast-forward關閉,因目前功能還不完善,
會讓您的翻牆相關的設定失效

2.vpn指定ip註定只能用layer3,
vpn連線後您到/ip address看到的地址是192.168.5.1與192.168.5.50
非192.168.5.1/24與192.168.5.1/24

3.由vpn的地址可知非/24網域,而是/32 ,所以bcp根本沒成功

4.您ping的192.168.5.1是vpn-server(192.168.5.1/32),
不是localbridge的192.168.5.1/24
雖然地址同為192.168.5.1,但它們兩是不一樣的網域

5.原本192.168.5.50/32讀取192.168.5.1/24(localbridge)會有問題,
透過proxy-arp可以讓192.168.5.50/32偽裝成192.168.5.50/24
但這是layer3的方式,與原架設bcp(layer2)的方式背道而馳

6.您將192.168.5.1打成了191.168.5.1
不知道您有無察覺,但因ip是/32的格式,所以不會有影響

TOP

yiucsw

Rank: 1
17#
發表於 2018-2-25 01:53 | 只看該作者
本帖最後由 yiucsw 於 2018-2-27 12:57 編輯

從CN-1 SSTP client : 192.168.4.X
Ping 192.168.5.1


直接將WLAN2 連到 BCR-Bridging

拿到HK1 的 IP address 192.168.5.X whatismyip 是HK 的ISP 地址。


Add route rule (不用)


Add route policy (不用)


從HK-1 SSTP server : 192.168.5.X
Ping 192.168.4.1


Route:


ping 192.168.5.2 (client ether5)
success.

Add route to 192.168.5.2 要在Server 端的Laptop 能Ping 192.168.4.x


可以ping 192.168.4.1 不知道Redirect host是什麼?
PING 192.168.4.1 (192.168.4.1): 56 data bytes
64 bytes from 192.168.4.1: icmp_seq=0 ttl=64 time=2.721 ms
92 bytes from router.lan (192.168.5.1): Redirect Host(New addr: 192.168.5.2)
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 0054 17ec   0 0000  3f  01 d89b 192.168.5.208  192.168.4.1

在测试机器(Mac) 上还有其他VPN, 影响Mac 从DHCP 拿 IP
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

gfx86674

Rank: 1
18#
發表於 2018-2-25 02:35 | 只看該作者
從CN-1 SSTP client : 192.168.4.X
Ping 192.168.5.1

從HK-1 SSTP server : 192.168.5.X
Ping 192.168. ...
yiucsw 發表於 2018-2-25 01:53

別試了,sstp真的沒辦法橋接lan...wiki說的很明白

site-to-site 請用layer3的方式做 ,要橋接ethernet請開eoip 或換openvpn連線.
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

yiucsw

Rank: 1
19#
發表於 2018-2-25 03:04 | 只看該作者
本帖最後由 yiucsw 於 2018-2-25 12:18 編輯

https://wiki.mikrotik.com/wiki/Manual:Interface/SSTP
Secure Socket Tunneling Protocol (SSTP) transports a PPP tunnel over a TLS channel.

謝謝你幫忙。看起來能用。
Wlan2 連到BCR-VPN bridge 已能從 HK1 SSTP-server 的 DHCP 那裏拿到IP。也能顯示ISP 是從 HK-1 SSTP- Server 那邊過。
以前的教材是用IP pool (VPN-pool)的, 但看到新的教材 都是用IP addressing...要是能用IP pool 少了一個要記的數字,不會有IP conflict.

TOP

gfx86674

Rank: 1
20#
發表於 2018-2-25 10:18 | 只看該作者
本帖最後由 gfx86674 於 2018-2-25 10:26 編輯
Secure Socket Tunneling Protocol (SSTP) transports a PPP tunnel over a TLS channel.
yiucsw 發表於 2018-2-25 03:04

換個方式,用IPSec架Site to Site:
假設
Server地址:123.123.123.123 / 192.168.5.0/24
Client地址:無公網地址 / 192.168.1.0/24
  1. #Server
  2. /ip pool
  3. add name=rw-pool ranges=192.168.4.254/32

  5. /ip ipsec mode-config
  6. add address-pool=rw-pool address-prefix-length=32 name=rw-cfg split-include=192.168.5.1/32 system-dns=no

  8. /ip ipsec policy group
  9. add name=rw-group

  11. /ip ipsec proposal
  12. add enc-algorithms=aes-128-cbc name=rw

  14. /ip ipsec peer
  15. add auth-method=pre-shared-key-xauth comment=rw dh-group=modp1024 enc-algorithm=aes-128 generate-policy=port-strict mode-config=rw-cfg passive=yes policy-template-group=rw-group secret=rw

  17. /ip ipsec policy
  18. add comment=rw dst-address=192.168.4.254/32  group=rw-group proposal=xauth src-address=192.168.5.1/32 template=yes

  20. /ip ipsec user
  21. add name=rw password=rw

  23. /ip firewall nat
  24. add action=accept chain=srcnat dst-address=192.168.4.254 src-address=192.168.5.1 place-before=0

  26. /interface eoip
  27. add allow-fast-path=no local-address=192.168.5.1 name=eoip-local remote-address=192.168.4.254 tunnel-id=100
  28. add allow-fast-path=no local-address=192.168.5.1 name=eoip-remote remote-address=192.168.4.254 tunnel-id=200

  30. /interface bridge
  31. add fast-forward=no name=remotebridge

  33. /interface bridge port
  34. add bridge=localbridge interface=eoip-local
  35. add bridge=remotebridge interface=eoip-remote
  36. add bridge=remotebridge interface=ether5

  38. /ip address
  39. add address=192.168.1.254/24 interface=eoip-remote network=192.168.1.0
複製代碼
  1. #Client
  2. /ip ipsec peer
  3. add address=123.123.123.123/32 auth-method=pre-shared-key-xauth comment=rw dh-group=modp1024 disabled=no enc-algorithm=aes-128 generate-policy=port-strict mode-config=request-only secret=rw xauth-login=rw xauth-password=rw

  5. /ip firewall nat
  6. add action=accept chain=srcnat dst-address=192.168.5.1 src-address=192.168.4.254 place-before=0

  8. /interface eoip
  9. add allow-fast-path=no local-address=192.168.4.254 name=eoip-local remote-address=192.168.5.1 tunnel-id=200
  10. add allow-fast-path=no local-address=192.168.4.254 name=eoip-remote remote-address=192.168.5.1 tunnel-id=100

  12. /interface bridge
  13. add fast-forward=no name=remotebridge

  15. /interface bridge port
  16. add bridge=localbridge interface=eoip-local
  17. add bridge=remotebridge interface=eoip-remote
  18. add bridge=remotebridge interface=ether5

  20. /ip route
  21. add distance=1 dst-address=192.168.5.0/24 gateway=192.168.1.254
複製代碼

TOP

yiucsw

Rank: 1
21#
發表於 2018-2-25 14:09 | 只看該作者
本帖最後由 yiucsw 於 2018-2-26 23:46 編輯

看到 VLAN over eoip 的文章。
http://www.mikrotik.co.id/artikel_lihat.php?id=20

好像沒有這樣簡單!

TOP

gfx86674

Rank: 1
22#
發表於 2018-2-25 14:39 | 只看該作者
看到 VLAN over eoip 的文章。

看到另一文章EOIP latency 大概是 20倍慢...

現在想做是 VLAN over BCR.  ...
yiucsw 發表於 2018-2-25 14:09

先用sstp做出bcp隧道好嗎? 直接跳到vlan切bcp隧道會不會越級打怪,早了些...

TOP

yiucsw

Rank: 1
23#
發表於 2018-2-25 15:01 | 只看該作者
如何知道是不是 BCP 成功?我已改了之前的發表。
我加了CN1 的 WLAN2 到 Bridge 已能拿到 HK DHCP 的 IP地址,也能用whatismyip 看到HKISP 地址。
在香港也能Winbox 到CN 1 Mikrotik.  
ping CN 有點奇怪,redirect host.. Traceroute 不成。是不是要加多一個Bridge 在HK1那邊 192.168.cn.2。那VLAN都不用。
在CN1 那邊 ping/tracerout HK1 都沒有問題。連BCR-VPN的 bridge 都沒有用。

TOP

gfx86674

Rank: 1
24#
發表於 2018-2-25 15:40 | 只看該作者
bcp成功的話 ,在client-router的ether5設定192.168.hk/24
可在server的/ip arp查到client-router remotebridge的mac-address

TOP

yiucsw

Rank: 1
25#
發表於 2018-2-25 16:01 | 只看該作者
本帖最後由 yiucsw 於 2022-3-9 00:50 編輯

回復 24# gfx86674

感謝
CN - Ether5


HK - IP ARP - 兩個 MAC 是一樣的
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

gfx86674

Rank: 1
26#
發表於 2018-2-25 16:23 | 只看該作者
本帖最後由 gfx86674 於 2018-2-25 16:27 編輯

回復 25# yiucsw
您成功建立bcp了,給您100個讚

目前您唯一的工作是盡量省缺您嘗試過的環境(能省缺代表某些步驟是多餘的),
看還能不能讓server arp抓到mac-address與192.168.5.2

直到您覺得到差不多時,
再到server的路由表將dst-address=192.168.cn.0/24 gateway=192.168.5.2加入

然後兩端互ping對方網段的電腦ip ,看site-to-site已否成立.

TOP

yiucsw

Rank: 1
27#
發表於 2018-2-25 22:58 | 只看該作者
本帖最後由 yiucsw 於 2022-3-9 00:52 編輯

Duplicated
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

kmc87

Rank: 1
28#
發表於 2018-4-18 09:51 | 只看該作者
因想學習 BCP pptp, 我在香港用兩部 RB750Gr3 在不同地點,根據#1 gfx86674 的 script 方法,設定BCP pptp ,看起來 BCP 能順利連上。

Location A, Server, Router A, 基本網段 192.168.80.1/24,   BCP interface ether5, 192.168.50.1

Location B, Client, Router B, 基本網段 192.168.82.1/24,   BCP interface ether5, 192.168.50.3

問題是,如 gfx86674 在 #10 所說, Router B,Client,ether 5 不需任何設定已能經 Router A, 翻墻上網。
但 Router A, ether5 能上網,但不是經 Router B  翻墻上網。


雖然在上面有多方面討論,但因我水平不足,沒能理解 sstp, eiop 等與 pptp BCP 的對應,多次嘗試用我理解的對應設定路由,始終未能成功。

故希望大家能給我一點指導,我要怎樣設定才可以在 Server,Router A 經 Client Router B,翻墻上網 還是我這樣的網段設定不對 或要再加Eoip。其實,BCP 是不是site-to-site ?   謝謝。

TOP

yiucsw

Rank: 1
29#
發表於 2018-4-24 10:48 | 只看該作者
本帖最後由 yiucsw 於 2022-3-9 00:54 編輯

duplicated

TOP

kmc87

Rank: 1
30#
發表於 2018-4-25 09:58 | 只看該作者
回復 29# yiucsw


根據上面 #10 的設定方法,我重新輸入後,已能解決問題。兩邊的 Router 已能正常互通和經對方 ip 上網。謝謝。

BCP 是互聯兩地 router 的好東西。謝謝你們的介紹和指導。

TOP

123
返回列表