冒个泡,顺便请教一下动态ip做ipip的办法
两个内网想互通(公网都是动态ip),首先想到最简单的ipip(当然其他办法也可以),本来想着用域名也凑合,结果发现local address非ip不可,还有其他啥办法可以实现目的?gre tunnel不用写local ip 租个vps就成了。两边都拨vpn过去。做策略路由。
补充内容 (2016-3-17 08:21):
firewall上面做nat转发或者直通 本帖最后由 cspm333 于 2016-5-2 19:40 编辑
假如您兩台router的域名平時有做更新動作:
router1: aaa.changeip.org
router2: bbb.changeip.org
router1 script:
:if (ipip-tunnel1 local-address]!=[:resolve aaa.changeip.org] || \
ipip-tunnel1 remote-address]!=[:resolve bbb.changeip.org]) \
do={/interface ipip set ipip-tunnel1 local-address=[:resolve aaa.changeip.org] remote-address=[:resolve bbb.changeip.org]}
router2 script: 同上,將域名置換即可.
一端用pptp或者L2TP 做服务器。一端拨入。性能会比 gre tunnel相差很多吗?
本帖最后由 cspm333 于 2016-5-2 21:53 编辑
hainanmm 發表於 2016-5-2 18:42
一端用pptp或者L2TP 做服務器。一端撥入。性能會比 gre tunnel相差很多嗎?
pptp連線時會建gre隧道,事實是用gre傳遞封包的;P
除pptp-server可供加密外;
l2tp/ipip/gre 本身並無加密選項,但可附掛ipsec加密使用.
不加密時性能其實是差不多的;加密的話就得依演算法而定...
加密程度越複雜,傳遞性能越差(因 加密/解密過程需消費兩端運算所致)
感谢继续捧场,有时间再测试cspm333的script,目视应该可以。
6楼已经回复了5楼,我就不续貂了,差别还是可观的。
额外,我现在在用gre tunnel,实际使用中有时候会出现一个问题,假如直接连接另一个内网的服务(两边rosgre tunnel连接,访问另一个内网的web或ftp或mysql等等),有时候会无法建立连接(但有时候又会正常),但我在电脑上直接ppptp过去就绝对正常,因为不常用,还没静心下来排查,大家帮忙指条捷径? 本帖最后由 cspm333 于 2016-5-4 01:14 编辑
因您給的資訊不夠多,只能約略臆測.
1.若您有使用多線,問題多出在/ip firewall mangle的mark-routing,沒將遠端網段排除.
2.若是單線,則可能出在/ip firewall nat的src-nat上
3.路由表也很有可能 ,如:VPN連繫的優先權<網際網路 (連繫優先權由distance決定,數目越小越優先)
若網際網路優先權>VPN ,連繫遠端的封包會誤送公眾網路,而非VPN對端. 本帖最后由 cspm333 于 2016-5-4 11:57 编辑
seignior 發表於 2016-5-3 22:33
感謝繼續捧場,有時間再測試cspm333的script,目視應該可以。
6樓已經回覆了5樓,我就不續貂了,差別還是 ...
其實小弟有個想法,您為何不利用ipsec建site to site呢?
RouterA :192.168.1.0/24(1.1.1.1 / aaa.changeip.org)
RouterB :192.168.2.0/24(2.2.2.2 / bbb.changeip.org)
RouterA:
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128-cbc
/ip ipsec peer
add address=2.2.2.2/32 comment=site-to-site enc-algorithm=aes-128 \
local-address=1.1.1.1 nat-traversal=no secret=sts
#sts是私人ipsce密碼,可置換
/ip ipsec policy
add comment=site-to-site dst-address=192.168.2.0/24 sa-dst-address=2.2.2.2 \
sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes
/ip firewall nat
add chain=srcnat action=acceptplace-before=0 src-address=192.168.1.0/24 dst-address=192.168.2.0/24
script:
:local localip pppoe-out1] address] ; :set localip [:pick $localip 0 [:find $localip "/"]]
:local remoteip [:resolve bbb.changeip.org]
:local peerA ; :local policyA
:if (!="$remoteip/32" || !=$localip ||
!=$remoteip || !=$localip) \
do={/ip ipsec peer set $peerA address="$remoteip/32" local-address=$localip
/ip ipsec policy set $policyA sa-dst-address=$remoteip sa-src-address=$localip}
RouterB:
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128-cbc
/ip ipsec peer
add address=1.1.1.1/32 comment=site-to-site enc-algorithm=aes-128 \
local-address=2.2.2.2 nat-traversal=no secret=sts
#私人ipsce密碼,要與RouterA同
/ip ipsec policy
add comment=site-to-site dst-address=192.168.1.0/24 sa-dst-address=1.1.1.1 \
sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes
/ip firewall nat
add chain=srcnat action=acceptplace-before=0 src-address=192.168.2.0/24 dst-address=192.168.1.0/24
script:
:local localip pppoe-out1] address] ; :set localip [:pick $localip 0 [:find $localip "/"]]
:local remoteip [:resolve aaa.changeip.org]
:local peerA ; :local policyA
:if (!="$remoteip/32" || !=$localip ||
!=$remoteip || !=$localip) \
do={/ip ipsec peer set $peerA address="$remoteip/32" local-address=$localip
/ip ipsec policy set $policyA sa-dst-address=$remoteip sa-src-address=$localip}
楼上的简直就是神人啊,真厉害,正需要。 又学到了,用四楼的方法是正常,谢谢大神
cspm333 发表于 2016-5-4 01:00
其實小弟有個想法,您為何不利用ipsec建site to site呢?
RouterA :192.168.1.0/24(1.1.1.1 / aaa.chang ...
那这个 script 多长时间运行一次呢 还是做触发
cspm333 发表于 2016-5-4 01:00
其實小弟有個想法,您為何不利用ipsec建site to site呢?
RouterA :192.168.1.0/24(1.1.1.1 / aaa.chang ...
按你这方法 我测试了下没用啊你QQ多少 或者加我下 886716
ROS现在不是都自带DDNS功能吗?直接用DDNS解释到的域名就可以了。 cspm333 发表于 2016-5-2 17:24
假如您兩台router的域名平時有做更新動作:
router1: aaa.changeip.org
router2: bbb.changeip.org
大牛
顶礼膜拜
一直在找解决方案
终于找到了
页:
[1]