gfx86674

最近試l2tp發現遠比sstp好用.
l2tp-client點pap,不勾選ipsec驗證(純l2tp連接)竟可直連中國...且順暢到濠洨不可思義

開啟ipsec加密驗證 ,l2tp反而慢還會不穩瞬斷...有夠扯.

gfx86674

想知道如何Set VLAN在EOIP overt SSTP？ 有沒有例子？
yiucsw 發表於 2017-1-22 18:18

透過bridge直接將eoip與vlan橋接即可,沒什麼特別的

gfx86674

回復 5# vpn-learner
layer2與layer3翻牆的差別.

layer2 資料連結層,在區網內部主要是透過Media Access Control(MAC)達到資料轉送跟交換

layer3 網路層,也就是看IP的一層,只要設備的IP 與 子網路遮罩經過計算,不是在同一段裡面,就得透過路由器轉送

若要簡單說明,即透過eoip連接的電腦,會以為是接在遠端的switch上.
只要不從router上查幾乎無法察覺任何徵像...

而sstp路由代理,電腦路由就和代理前一模一樣.只不過封包送到router後,經router的策略往vpn送.

所以遇到些會檢驗區域碼的影音網站,如:搜狐
就算用sstp代理翻網一樣會無法瀏覽,因為網站知道您的地域還是在中國以外的區域;
但透過eoip就電腦整個偽裝成中國用戶,搜狐也就無從阻攔您的瀏覽了.

gfx86674

回復  gfx86674

再请教， 如果纯粹用EOIP 翻墙 （不用SSTP）， 效果又会如何？ ...
vpn-learner 發表於 2017-1-23 12:08

少了sstp禁錮,eoip的表現當然會更好.

但eoip是用gre的封包在傳遞,過不了中國長城這一關(pptp也是gre傳遞,所以在中國無用處).
只好委屈它躲在sstp內傳遞囉 (多經了sstp加密/解密,拉長了傳遞時間)

eoip本身也是有提供ipsec加密傳遞,作用和藏在sstp相同,變相藏在ipsec內傳遞.
但若能不加以隱藏,純粹eoip傳輸效能才是最棒的.

gfx86674

回復 11# yiucsw
若您想做的是layer3 ,就不要去想layer2的eoip.
使用eoip註定就是往server的方向交換封包.

若您想有保有router地址判段的優勢,就待在sstp這區塊就好.
您可以將dst-address=0.0.0.0/0 (default route)的gateway換成sstp-out1 ,
然後非china的地址才改透過路由策略改使用isp連結,就這樣.

gfx86674

回復 13# vpn-learner
可以,很久以前就可以了.

只不過早期的ros版本會自動幫您轉成ip ,
但轉成ip後 ,下次server的地址浮動後就又連不到遠端了,
因為與connect-to記錄的不同 ,connect-to還是上一次的舊地址,並沒有跟著更新.
所以早期的ros要持續穩定的使用vpn-client ,得需script配合.

而6.x版本後的vpn-client ,ros就不再多事幫您轉成ip (可能被用戶投訴多了 )
所以connect-to仍可輸入ddns使用 ,但不必再擔心地址浮動的問題.

gfx86674

回覆 15# yiucsw
VPN是雙向的,只要有VPN連接成,兩端都可以借這個隧道相互翻牆.

若是從香港 撥往中國 ,香港router的設置:

1. /ip firewall mangle add action=mark-routing chain=output dst-port=15252 \
   
2.     new-routing-mark=to_cn passthrough=no protocol=udp
   
3. 
   
4. /ip route add distance=4 gateway="l2tp-out1" routing-mark=to_cn
   
5. 
   
6. /ip firewall nat add action=masquerade chain=srcnat \
   
7. comment=l2tp-out-cn out-interface="l2tp-out1"

複製代碼

若是從中國 撥往香港 ,香港router的設置:

1. /ip firewall mangle add action=mark-routing chain=output dst-port=15252 \
   
2.     new-routing-mark=to_cn passthrough=no protocol=udp
   
3. 
   
4. /ip route add distance=4 gateway="<l2tp-cn>" routing-mark=to_cn \
   
5. comment=l2tp-in-cn
   
6. 
   
7. /ip firewall nat add action=masquerade chain=srcnat \
   
8. comment=l2tp-in-cn out-interface="<l2tp-cn>"

複製代碼

除此外,還需在/system scheduler新增script:

1. :local cn [/interface find name~"^<l2tp-cn"]
   
2. :if ([:len $cn]>0) \
   
3.     do={
   
4.            :if ([:len $cn]>1 || ([:len $cn]=1 && [/interface get $cn name]!="<l2tp-cn>")) \
   
5.                 do={:foreach i in=$cn do={/interface l2tp-server remove $i} ; :delay 2s}
   
6. 
   
7.            :delay 10s
   
8.            :local route [/ip route find comment="l2tp-in-cn"]
   
9.            :local nat    [/ip firewall nat find comment="l2tp-in-cn"]
   
10.            :if ([/ip route get $route gateway]!="<l2tp-cn>" \
    
11.                 || [/ip firewall nat get $nat out-interface]!="<l2tp-cn>") \
    
12.                do={/ip route set $route gateway="<l2tp-cn>"
    
13.                       /ip firewall nat set $nat out-interface="<l2tp-cn>"}
    
14.           }

複製代碼

設置完,香港router的/ip cloud就能為中國router更新中國地址.

gfx86674

回復 17# yiucsw

~是使用正則表達式比對 ,"^"是只比對字串開頭符合條件的.

gfx86674

有時候若clients重覆登入同一個帳號,會發生這樣的情況.

這樣會讓我們做site to site時出現困擾,所以要透過script阻止這樣的現象產生.

gfx86674

回復 20# yiucsw
eoip這點小弟不清楚 ,小弟在台灣也是將eoip建置在l2tp內,

但小弟在對岸沒有router可連結,無法得知可否穿越GFW.

您可觀察是否有/ip firewall connection是否有gre封包在進行傳遞
(eoip與pptp同,是利用gre封包進行傳輸)

若是/ip firewall connection列表裡無gre連線,那可能真又在GFW卡關.
只能改在加密的sstp或ipsec裡建置eoip了.