[研究所] MikroTik RouterOS 學習 (持續更新)

gfx

1598分

6801樓

gfx

個人積分：1598分

文章編號：72338874

billese10 wrote:
大大您好，我輸入...(恕刪)

您的防火牆第12項(action=fasttrack)要關閉，IPSec不支援fastpath。
開啟可能會出現IPSec未知的連線問題。

billese10

969分

6802樓

billese10

個人積分：969分

文章編號：72339395

gfx wrote:
您的防火牆第12項...(恕刪)

謝謝大大建議~小弟已經把他關閉了

只是現在還是沒辦法登入雙方router 內部IP

gfx

1598分

6803樓

gfx

個人積分：1598分

文章編號：72339917

billese10 wrote:
謝謝大大建議~小弟...(恕刪)

需要遠端協助嗎？

veyron0727

0分

6804樓

veyron0727

個人積分：0分

文章編號：72343455

gfx wrote:
進入winbox
system...(恕刪)

好詳細的解說，太感謝了!
已設定好，另外，想請教一下目前在玩一個MMORPG
在它的說明文件中有稱 : Guild Wars 2 requires TCP ports 80, 443, and 6112 to be fully unrestricted and accessible—both inbound and outbound.
目前我設了

請問這樣可以嗎?

derliang

1143分

6805樓

derliang

個人積分：1143分

文章編號：72345757

gfx wrote:
需要遠端協助嗎？...(恕刪)

拜請gfx神人，最近發現好像有人會來踹L2TP VPN，所以想問以下兩個問題。

1.VPN登入的錯誤記錄，有辦法變成獨立的log檔查閱嗎？目前ROS的log檔內容實在太多啦。
2.來踹的IP可以自動加到address list中嗎？例如列到BanIP的列表中。

irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!

RickyHsu77

1441分

6806樓

RickyHsu77

個人積分：1441分

文章編號：72345963

derliang wrote:
拜請gfx神人，最...(恕刪)

之前神人有幫到我,原想拿出來幫你,但沒想到01會自動將太久以前的收件匣清空,所以我也找不到資料可以給你參考.

目前依神人建議設定好後,大多數應該都無法連進來,因為在address list中可以看到一堆被鎖定的IP,放心多了.

太常見又固定的IP,我會手動放進黑名單中.

gfx

1598分

6807樓

gfx

個人積分：1598分

文章編號：72346990

veyron0727 wrote:
好詳細的解說，太感...(恕刪)

您的設置不太正確,舊文曾討論過src|dst|input|output|forward的關係:

routeros架構是衍生自linux。

input與output是形容自己連線的進和出。
在linux上的自己當然是指目前當下所操作的計算機，
而routeros上的自己當然是指router他自己，決非第二人。

而forward則是指router所經手的。
所以只要來源與目地都與router內外ip無關，卻需借router管理，
鏈的選擇一律使用forward。

而與router有關，就要選擇正確的鏈。
input為輸入，所以此時router ip只能定義在目的(dst)的位置。
若鏈定義在input，router ip卻放在來源(src)，這行rule會無效。

同樣鏈為output時，router ip只能放在來源(src)。
不依規定同樣rule是不會起作用的。

來源(src) -> 目的(dst)

假設Router有安裝vpn server，
手機想對Router進行vpn連線，路徑即：手機(src) -> Router(dst)
因Router是負責接收，所以鏈的選擇一定是input，選output邏輯很怪對吧

因Router是放在接收的位置，所以設定Router ip時一定是在目的地方。
所以鏈選擇input，Router ip卻定義在來源(src ,原本應該是手機的位置)一樣是邏輯不通。

反向思考：Router收到連線要求，要回應手機。這時路徑會變成Router(src) -> 手機(dst)
這時Router是負責發送，所以鏈的選擇一定是output，您不會去選擇input的。

因Router是放在發送的位置，所以設定Router ip時一定是在來源方。
因鏈選擇output，所以Router ip您也不會定義在目的，否則邏輯也是不會通的。

以上都由Router負責主接收和傳送，所以有input與output區別。
如果手機vpn連線對象變成後端的Nas，Router只是個過程...這時候的路徑
就變為：手機(src) -> Router -> Nas(dst)
反之：Nas(src) -> Router -> 手機(dst)

不管方向怎換Router都既不是來源，也不是目的...
這時候我們用鏈forward代表Router目前的工作，中繼的意思。

綜合上述鏈(chain)的目的，即在告知Router開放或攔截封包時，
是應在輸入端(input)，輸出端(output)，中繼端(forward)進行工作。就這樣。

手機連線Router
封包交換整個流程必是：手機 -> Router -> 手機
所以Router在接收時是當輸入端(input)；傳回手機時，Router則變成輸出端(output)

所以要讓陌生人手機對Router的vpn連線無效，做法很簡單：
不是讓Router收不到手機信號，要不然就是讓Router回應送不回手機去。

假設陌生人手機地址是123.123.123.123

1.讓Router收不到手機信號：
action=drop chain=input src-address=123.123.123.123
Router當輸入端時，阻止來源(src)地址123.123.123.123進行連接

2.讓Router無法回覆手機
action=drop chain=output dst-address=123.123.123.123
Router當輸出端時，阻止回應目的(dst)地址為123.123.123.123的裝置

只要做任一項都會讓流程中斷，讓封包無法交換達到封阻目的。
所以說只要挑一個做是肯定的，正確的。
————————————————————————————————————
若是IPCam，因流程是：手機 -> Router -> IPCam -> Router -> 手機
同樣不是讓IPCam收不到手機信號，要不然就是讓IPCam回應送不回手機去。

假設陌生人手機地址是123.123.123.123

1.讓IPCam收不到手機信號：
action=drop chain=forward src-address=123.123.123.123
Router當中繼端時，阻止來源(src)地址123.123.123.123進行轉發

2.讓IPCam無法回覆手機
action=drop chain=forward dst-address=123.123.123.123
Router當中繼時，阻止目的(dst)地址123.123.123.123進行轉發

您有注意到嗎？
阻止轉發比您想像單純的多，幾乎不用分來源(src)或目的(dst)。
幾乎是只要讓Router認出123.123.123.123，就一律阻殺。

但背後涵義其實還是有所不同：
一個是Router不轉發手機的連接信號；另一個則是Router不轉發IPCam的回覆信號。

因為主機為電腦,router只是過客...
chain應該選擇的是forward,決非是input或output

Guild Wars 2 requires TCP ports 80, 443, and 6112 to be fully unrestricted and accessible—both inbound and outbound.
上面說明出與進都得做開放相同的port,所以需做2個。
假設您的電腦ip是192.168.1.100

veyron0727

0分

6808樓

veyron0727

個人積分：0分

文章編號：72348864

gfx wrote:
您的設置不太正確,舊...(恕刪)

您真是個熱心助人的好人阿
讓我反而覺得沒認真搞懂爬文的結果，很不好意思
我是因為網路MikroTik 賣家原先設有:
{允許21,22,23,80,443,1723,8291 tcp port 連入}
我不明就裡，便依樣畫葫蘆，自己再加一個 tcp port 連出
以為這樣就算 inbound and outbound 都暢通了
沒想到，錯得離譜 XD

大抵上我已經弄懂您的設定，不過很失禮的請教一下
這樣的設定，應該不同於在NAT 設port forwarding?
不曉得會不會形成防火牆上的嚴重漏洞呢?
再次深深地感謝您費心回應