vpn+策略端口路由设置问题(PS:提供虚拟机学习 routeros思路)
vpn+策略端口路由设置问题(顺便:提供在单机单ADSL账号在虚拟机实现多ADSL账号操作的思路,供学习讨论)大家好,最近在学习routeros 2.9.27的一些功能,主要是双线策略路由,和端口策略路由,和vpn借线技术
有人说,不能用虚拟机模拟routeros 的一些功能,要用现实的routeros 环境才能学习
其实用 routeros 是可以模拟出这个环境的 ,我就是用虚拟机模拟出单机拨号,但是虚拟机中却有双pppoe账号拨号上网的环境,如果有初学者想测试的话,看以下以下的设定,了解一下思路,可以试一下!
但是现在遇到的一些问题,希望能在论坛上得到帮助!
问题:
无法按80端口转发到vpn的通道上网!具体的设定如下,当然,有的初学者可以顺便看一下,如何在单机单ADSL账号上,在虚拟机上模拟出多机,多ADSL账号拨号,实现routeros 多线设定的思路,有不解的话,可以一起讨论 QQ:83346490)
用虚拟机模拟了以下一个环境
Routeros A
内网 lan1 (ip= 192.168.3.10/24)
外网 gwbn-wan(ip=192.168.0.1/24)
gwbn-wan 建立通往宽带的pppoe连接 pppoe-out1
又在Routeros A 建立了 PPPoe-in1 (pppoe拨号服务器,模拟adsl拨号)和pptp服务器(做vpn借线技术使用)
以下是RouterOS A接口表
routeros interface> print 的内容
routerosinterface> print 的内容
# NAME TYPE RX-RATETX-RATE MTU
0R gwbn-wan ether 0 0 1500
1R lan ether 0 0 1500
2R pppoe-out1 pppoe-out 0 0 1480
3 pppoe-in1 pppoe-in 0 0
4 pptp-in1 pptp-in 0 0
Pppoe-in1 和pptp-in1的设定可以参考网上相关教程
我这里routeros A 的pppoe-in1 用户设定的ip池是 192.168.3.1~192.168.3.2
Pptp-in1 用户设定的ip池是 10.10.1.1-10.10.1.2
以下是 Routeros A的路由表
ip> route
ip route> pr
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCEINTERFACE
0 ADC 10.9.9.1/32 220.113.167.23 pppoe-out1 宽带拨号得到的ip地址
1 ADC 10.10.1.2/32 10.10.1.1 <pptp-vpn1> 这个是routeros B vpn拨号分配的ip地址
2 ADC 192.168.3.2/32 192.168.3.1 <pppoe-user2-1> 这个是routeros B pppoe分配的IP地址
3 ADC 192.168.3.0/24 192.168.3.10 lan
4 AD0.0.0.0/0 r 10.9.9.1 1 pppoe-out1
Router OS A 设定ip nat 地址伪装
以下是Routeros B的设定
内网 lan (ip=192.168.0.2/24)
外网 wan(ip=192.168.0.3/24)
又在RouterOS B中建立了PPPoe-out1,拨号到Routeros A 中,(添加到缺省路由)
另外建立了一个pptp-out1的vpn拨号链接到192.168.3.10(即RouterOS A的地址),建立pptp通道
理论上讲,如果routeros B 中,如果没有建立pppoe-out1连接,得到访问192.168.3.0网段的ip地址192.168.3.2,是无法建立连到192.168.3.10
A pptp-out1的连接的!不知道这样讲是否正确
以下是Roteros B 的接口表
interface> pr
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0R lan ether 0 0 1500
1R wan1 ether 0 0 1500
2R pppoe-out1 pppoe-out 0 0 1480
4R pptp-out1 pptp-out 0 0 1460
[Router OS B 设定伪装
ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade
RouterOS B 的路由表
ip route> pr
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCEINTERFACE
0 ADC 10.10.1.1/32 10.10.1.2 pptp-out1(拨号到roueros A 的vpn)
1 ADC 192.168.0.0/24 192.168.0.2 lan
2 ADC 192.168.3.1/32 192.168.3.2 pppoe-out1 (拨号到routeros A的pppoe
3 A S 0.0.0.0/0 r 10.10.1.1 pptp-out1
4 AD0.0.0.0/0 r 192.168.3.1 1 pppoe-out1
此时,如果,设定一客户机,网关指定为roueros B,可以正常上网
Tracert 的路径为
192.168.0.2 (routeros B)
192.168.3.1(routeros A)
10.9.9.1 (routeros A 的宽带)
220.113.167.23
…….
以上实现了用routeros 建立pppoe服务器的过程
现在要实现端口转发并走vpn通道,但现在出一些问题,一直搞不明
请朋友帮忙看一下,问题可能出在哪里
我是这样设定的
Routeros B 设定端口转发标志
ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting protocol=tcp dst-port=80 connection-limit=100,32 action=mark-connection
new-connection-mark=http passthrough=yes
(建立tcp 80端口的连接标志 http)
1 chain=prerouting connection-mark=http action=mark-routing new-routing-mark=web
passthrough=yes
(将所有连接标志为http的,转发到web 路由标志)
routeros B的路由标志
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCEINTERFACE
0 ADC 10.10.1.1/32 10.10.1.2 pptp-out1(拨号到roueros A 的vpn)
1 ADC 192.168.0.0/24 192.168.0.2 lan
2 ADC 192.168.3.1/32 192.168.3.2 pppoe-out1 (拨号到routeros A的pppoe
3 A S 0.0.0.0/0 r 10.10.1.1 pptp-out1 (路由标志标为 WEB)
4 AD0.0.0.0/0 r 192.168.3.1 1 pppoe-out1
现在客户机,依然网关指定为routeros B ,也是可以上网,但是tracert 跟踪路由确不是通过 routeros A的vpn走,用viuseroute 软件跟踪www.163.com 80端口,也不是通过routeros A的vpn走,查看routeros B的pptp-out1也没数据流出,mangle所做的http连接,也没有数据流出
按网上看到的教材,访问80端口的数据,路由走向应该是
192.168.0.2(routeros B)->10.10.1.1 (routeros AVPN通道) -> 10.9.9.1 (routeros A上的宽带连接) -> 220.113.167.23 ->目标80端口数据才对
但是现在,访问80端口的数据,依然是
192.168.0.2(routeros B)->192.168.3.1 (routeros A)-> 10.9.9.1 (routeros A上的宽带连接) -> 220.113.167.23 ->目标80端口数据,并没有通过vpn通道走请问有可能出现在哪些步骤没设定好呢?
希望有高手能帮解答一下
[ 本帖最后由 fjxm-wjd 于 2007-5-14 03:38 编辑 ] 不知道你想说什么 up一下,如果有朋友知道如何解决的话,帮忙回答一下 难道,这个问题,真的很困难的吗/
你的问题跟我的相似
设置了网关标记,但QQ等能通过VPN出去,就是网页打不开。DNS解释也能通过VPN解释正常。
页:
[1]