[研究所] MikroTik RouterOS 學習 (持續更新)

gfx

1603分

8511樓

gfx

個人積分：1603分

文章編號：90636364

billese10 wrote:
我要來請教大神們.....(恕刪)

一般情況下是可以互相訪問才對啊。
最簡單的測試就是在router命令窗用ping測試，如：

:ping 192.168.5.254 src-address=192.168.6.254
:ping 192.168.6.254 src-address=192.168.7.254
:ping 192.168.7.254 src-address=192.168.8.254
:ping 192.168.8.254 src-address=192.168.5.254

但我幾乎篤定100％測試會過，
除非您mangle策略有chain是使用output，直接影響router輸出。

我猜您應mangle策略沒把區網連線給略過，要不然就是windows防火牆在搞...

如果考慮是mangle策略問題，您只要mangle新增：

action=accept chain=prerouting src-address=192.168.0.0/16 dst-address=192.168.0.0/16

並拉到mangle視窗最上方置頂，
這樣mangle下方的路由策略要碰觸內網vs內網都會直接掠過。

另外一個關鍵即我說的windows防火牆。
windows預設只允許同網段的裝置，或者特定軟體的連接port進入。

所以解決的方式很簡單，把windows防火牆不管公還是私全關閉，
另一頭不同網段的windows也是如此。
之後ping遠端windows看看，若ping的動那問題就出在這了。

記得上面的兩種情形很高率同時都有，兩個方向都要查。

如果關了windows防火牆就可以連線到對端，
您可以windows防火牆進階設置，本地規則新增允許遠端192.168.0.0/16
兩邊windows防火牆都需要，再開啟防火牆驗證剛剛開放192.168.0.0/16是否順利放行。

開放windows防火牆是您windows pc為數不多時，較正規的解法；
一旦pc數量大，一台台pc改防火牆這肯定讓人崩潰...

這時就建議您用nat偽裝，在nat新增：

action=masquerade chain=srcnat src-address=192.168.0.0/16 out-interface=vlan5
action=masquerade chain=srcnat src-address=192.168.0.0/16 out-interface=vlan6
action=masquerade chain=srcnat src-address=192.168.0.0/16 out-interface=vlan7
action=masquerade chain=srcnat src-address=192.168.0.0/16 out-interface=vlan8

用nat偽裝欺騙的方式，假設192.168.5.100想連結192.168.6.100時，
192.168.5.100假裝自己是192.168.6.254，來欺騙192.168.6.100是同內網，
希望windows防火牆給過，大致就是這樣～

billese10

974分

8512樓

billese10

個人積分：974分

文章編號：90638368

gfx wrote:
一般情況下是可以互相...(恕刪)

在mangle 加入這段就可以正常訪問了
action=accept chain=prerouting src-address=192.168.0.0/16 dst-address=192.168.0.0/16

這也是我第一次搞稍微有點規模環境無法冷靜

我目前設定mangle 把所有VLAN 都綁mangle route table 出去，卻忽略了內網互問這塊．

感謝大神幫忙

另外我想請教大神，如果同樣是MikroTik 產品，不同型號，一個版本是7版一個版本是6版

bridge vlan 宣告在7版MikroTik 產品上(CCR2004)，如果想把6版()可以吃到7版bridge vlan ，需要在6版那邊建立VLAN嗎？

這塊我有遇到一些問題，7版bridge vlan 沒辦法帶入到6版 vlan去．

(也有拿它牌和MikroTik 存L2 Switch 均可以吃到7版bridge vlan） orz

gfx

直接升到v7即可，不用擔心v6換v7時vlan會崩潰。我的router也是有設置vlan，從v6升到v7完全沒不良反應。但小心駛得萬年船，升級v7前備份設定仍是必要的

2024-11-14 14:00

chrisdartw

0分

8513樓

chrisdartw

個人積分：0分

文章編號：90653261

請教前輩, 我能不能把一台 5port的MikroTik 分割成 3+2port switch?
問了ChatGPT後給出一個腳本

/system reset-configuration
/interface bridge
add name=bridge1
add name=bridge2
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge2 interface=ether4
add bridge=bridge2 interface=ether5

測試後有符合預期, 然後在這個基礎上加上macvlan後整個走鐘 (Port1/2/3 都彼此不通了).

/system reset-configuration
/interface bridge
add name=bridge1
add name=bridge2
/interface macvlan
add interface=ether1 mac-address=B6:EA:E9:E4:EE:0A mode=private name=macvlan1
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge2 interface=ether4
add bridge=bridge2 interface=ether5

請問這是先天限制還是違反一些基礎常識?

gfx

1603分

8514樓

gfx

個人積分：1603分

文章編號：90653627

請問這是先天限制還是違反一些基礎常識?

方法很多，以下是用vlan的方式設置：

/interface bridge
add name=bridge1 frame-types=admit-only-vlan-tagged

/interface bridge port
add bridge=bridge1 interface=ether1 pvid=10 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether2 pvid=10 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether3 pvid=10 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether4 pvid=20 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether5 pvid=20 frame-types=admit-only-untagged-and-priority-tagged

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether4,ether5 vlan-ids=20

/interface vlan
add interface=bridge1 vlan-id=10 name=vlan10
add interface=bridge1 vlan-id=20 name=vlan20

/ip address
add address=192.168.10.1/24 interface=vlan10
add address=192.168.20.1/24 interface=vlan20

/interface bridge
set bridge1 vlan-filtering=yes

/interface macvlan
add interface=vlan10 mac-address=B6:EA:E9:E4:EE:0A mode=private name=macvlan1

billese10

974分

8515樓

billese10

個人積分：974分

文章編號：90657778

想請問一下，最近開始在設定WireGuard VPN

目前透過pppoe-out1 (撥號固定IP) WireGuard Client連線是成功的．

若我想透過pppoe-out3 (撥號浮動)，綁定ddns WireGuard Client連線是沒辦法過去．

有在MikroTik filter 將WireGuard port 開放，甚至把WireGuard 設立IP 用nat 偽裝，到pppoe-out3 好像無法連線成功.....

請問這想法他有辦法讓所有WireGuard Client 都走pppoe-out 3 回來嗎？ (流量不經過pppoe-out1)

gfx

1603分

8516樓

gfx

個人積分：1603分

文章編號：90659570

billese10 wrote:
想請問一下，最近開始...(恕刪)

想要pppoe3當wg-server嗎？很簡單

/ip firewall address-list
add list=pppoe3 address=ddns3.noip.com

/ip firewall mangle
add action=mark-routing new-routing-mark=to_pppoe3 chain=output src-address-list=pppoe3

另外wg peer還有個很重要的選項：

Responder（響應）：
未勾選時，是當client，peer會往endpoint指定的位址撥號；
勾選時，乖乖的當server等遠端過來握手。

billese10

974分

8517樓

billese10

個人積分：974分

文章編號：90660755

gfx wrote:
Responder（響應）：
未勾選時，是當client，peer會往endpoint指定的位址撥號；
勾選時，乖乖的當server等遠端過來握手。

大神~我剛剛有試試看您設定，手機連線到另一組pppoe 似乎沒有過去

pppoe-out3 route table 有另外設定一個標籤給他，是否與這個有關聯....?

測試我另一個pppoe udp 服務有通．

g91720

16分

8518樓

g91720

個人積分：16分

文章編號：90671878

boren wrote:
7.11rc1 (2023...(恕刪)

謝謝各位前輩，學習好多。

如果是在routeros container adguardhome有另建一個的bridge Interface，是不是ipv6的 address, server, pool 也需要建一個給VETH用？

Trial & Error 好久，雖然通了。
但不確定姿勢是否正確

gfx

1603分

8519樓

gfx

個人積分：1603分

文章編號：90672147

g91720 wrote:
謝謝各位前輩，學習好...(恕刪)

billese10

974分

8520樓

billese10

個人積分：974分

文章編號：90676234

gfx wrote:
想要pppoe3當wg...(恕刪)

我今天也調整規則，能確定pppoe-out3 是可以正常連到wg 的服務port

但是透過手機將endpoint 指定pppoe-out3 連線上後，仍然沒辦法正常瀏覽網頁，MikroTik 確實有抓到我這筆連線紀錄．pppoe-out1就可以正常連(固定IP撥號的)

不知道有沒有大神可以指點迷津

---
我把pppoe-out1 改成 pppoe-out3 一樣方式撥號(浮動)，原本猜測以為是中華針對udp封包有限制，看起來改成浮動仍然可以使用，我在猜wg 是不是預設統一都走pppoe-out1為優先，不知道有沒有這機制可以改掉．

(有調整過route 將pppoe-out3 另外標記似乎無法)

[研究所] MikroTik RouterOS 學習 (持續更新)

小惡魔新聞台

小惡魔廣編特輯

[研究所] MikroTik RouterOS 學習 (持續更新)

小惡魔新聞台

小惡魔廣編特輯

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！