[研究所] MikroTik RouterOS 學習 (持續更新)

a22548546

0分

8241樓

a22548546

個人積分：0分

文章編號：87055275

gfx wrote:
如果是這樣的架構：單...(恕刪)

GFX大我的架構確實是您繪製的這樣，我也照您說的操作了
目前WireGuard Iphone端是可以連線的，不過192.168.60.0/24的設備還是可以存取到192.168.70.0/24的設備
(例如SMB或Router)，有可能是出廠的防火牆有東西沒關導致的嗎?

gfx

1603分

8242樓

gfx

個人積分：1603分

文章編號：87055668

a22548546 wrote:
GFX大我的架構確實...(恕刪)

不應該發生您說的現象啊，
wireguard的allow-address是這樣用的沒錯。

不然您之前貼的防火牆設定也是可以的，您有操作過嗎?

a22548546

0分

8243樓

a22548546

個人積分：0分

文章編號：87063185

gfx wrote:
不應該發生您說的現象...(恕刪)

目前的防火牆規則是這樣，而且發現有用DHCP的設備IP(IPHONE)不是WireGuard指派的IP
(WG指定192.168.60.5，實際顯示是192.168.70.80)
目前隔離網段的方式是直接Src192.168.60.0 Dst !172.17.0.2 全部Drop

gfx

也不知道172.17.0.0/24是架在ros的container，還是區網的某台nas上

2023-03-16 9:17

gfx

希望您補個網路樸拓好知道您的架構是什麼樣子

2023-03-16 9:20

top100011

1931分

8244樓

top100011

個人積分：1931分

文章編號：87068893

大大~再請教一下

我後來發現要升級到 7.X 後才可以，6.X 怎樣都不行><
不過升級可以後，我想上傳的IP記錄是 pppoe-out2

但因為預設閘道都是 pppoe-out1
所以直接傳送都是 1 的記錄

如果我想要上傳 pppoe-out2 的記錄要怎麼設定呢？

我用下面的指令，都會卡在 interface 這個錯誤
/tool fetch url="https://freedns.afraid.org/dynamic/update.php
?xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" interface=pppoe-out2 keep-result

a22548546

0分

8245樓

a22548546

個人積分：0分

文章編號：87070090

a22548546 wrote:
目前的防火牆規則是這...(恕刪)

GFX大圖片的上半部分是我目前的拓撲 WG1是RB5009 WG2是iPhone

然後想順便請教一下下半圖的R1接在Gi/01、Gi0/2上兩個網段想要互通的話沒有設定bridge是透過route去轉送還是其他方式呢

gfx

1603分

8246樓

gfx

個人積分：1603分

文章編號：87070425

a22548546 wrote:
GFX大圖片的上半...(恕刪)

終於弄懂您的樸拓了。
RB5009(W1)的allow-address設錯了。

allow-address若要用ros防火牆的觀點思維，
它只能控制來源(src-address)，不能控制目的(dst-address)
對於W1來說，目的地點的只有一個：W2(192.168.60.5/24)

因目地已經是192.168.60.5/24(W2)，所以您只需盤算來源要設哪些ip？
讓ip能送到192.168.60.5/24(w2，也就是iphone)

依您的條件就是172.17.0.2/24與192.168.60.1/24，其他不需要到iphone去。
所以RB5009(W1)的allow-address設172.17.0.2/24 , 192.168.60.1/24即可。

這張圖是修正過的，將原本錯誤的192.168.60.5/24，更正為192.168.60.1/24

至於iphone(W2)這邊，除192.168.60.5/24外，沒有其他ip要送到WG1去。
所以iphone(W2)這邊的allow-address就只需要填192.168.60.5/24就好。
————————————————————————————————————
Gi/01、Gi/02上兩個網段想要互通的話很簡單，即什麼都不要做就已經是囉

因為Gi/01、Gi/02的gateway雖然ip有些不同，但兩個gateway都是R1。
那還需加路由表嗎？

換方個方式說，即192.168.60.1與192.168.70.1已經是R1的左右手，
不需要再有多餘的宣告告知R1，192.168.60.1與192.168.70.1是出自哪裡。
————————————————————————————————————
您是ROS新手，說不定在/ip firewall nat裡，有啟用一個出廠的設置。展開是這樣的：

中文還標示不要變更或刪除他...

真的，這會害人一輩子

有他在，防火牆一點意義也沒有。

如樸拓，您是不希望192.168.88.1/24穿越WG通道到iphone去。
所以allow-address只設了172.17.0.2/24與192.168.60.1/24。
但若192.168.88.1/24被包裝(偽裝)成192.168.60.1/24，這樣不就符合穿越WG的條件嗎。
masquerade(偽裝)把防火牆整個打亂了～

但masquerade仍很重要，
若不將192.168.88.x偽裝成公網的114.x.x.x是無法上網際網路的。
所以您需動手修改這個設定，也就是偽裝除了網際網路外，其他的甚都不做。

而代表網際網路，若是hinet用戶即指pppoe-out1撥號。所以只要修正成：

這樣偽裝就只會對應pppoe-out1，其他的不會做啦。
192.168.88.1/24也不會突然變成192.168.60.1/24穿進WG隧道了。

top100011

1931分

8247樓

top100011

個人積分：1931分

文章編號：87074145

top100011 wrote:
我後來發現要升級到 7.X 後才可以，6.X 怎樣都不行><
不過升級可以後，我想上傳的IP記錄是 pppoe-out2

但因為預設閘道都是 pppoe-out1
所以直接傳送都是 1 的記錄

如果我想要上傳 pppoe-out2 的記錄要怎麼設定呢？

謝謝~
已找到方式了，用這個腳本測試可以

:local ipaddress [/ip address get [find interface="pppoe-out2"] address];
:local myip [:pick $ipaddress 0 [:find $ipaddress "/"]];
:global afraiduser "帳號"
:global afraidpass "密碼"
:global afraiddomain "更新的網域"

:log info "Updating dynamic DNS on Afraid.org with current IP: $myip"

/tool fetch mode=https url="https://$afraiduser:[email protected]/nic/update?hostname=$afraiddomain&myip=$myip" keep-result=no

top100011

1931分

8248樓

top100011

個人積分：1931分

文章編號：87075020

我發現 RouterOS 真的深不見底...

感覺永遠都摸索不完，每次稍為了解一些東西後，過一陣子沒摸又忘了...

每次想要再用一點新東西，又發現自己又完全不會了........

然後又重新去查詢跟求助.........

a22548546

0分

8249樓

a22548546

個人積分：0分

文章編號：87080389

gfx wrote:
終於弄懂您的樸拓了。RB5009...(恕刪)

成功了！
不過我又遇到另一個問題
Wireguard_LAN 192.168.60.1
Wireguard 192.168.60.5,6(iphone,ipad)
沒辦法同時連線，是因為兩個的監聽port都是13231還是其他因素嗎？

Routeros不確定是防火牆規則還是什麼因素擋住，如果是防火牆擋著有辦法用什麼指令查出來嗎（Troubleshooting的能力還是不足 sorry