vpn+策略端口路由设置问题(PS:提供虚拟机学习 routeros思路)

fjxm-wjd · 发表于 2007-5-13 20:30:28

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

vpn+策略端口路由设置问题（顺便：提供在单机单ADSL账号在虚拟机实现多ADSL账号操作的思路，供学习讨论)

大家好，最近在学习routeros 2.9.27的一些功能，主要是双线策略路由，和端口策略路由，和vpn借线技术

有人说，不能用虚拟机模拟RouterOS 的一些功能，要用现实的routeros 环境才能学习
其实用 routeROS 是可以模拟出这个环境的，我就是用虚拟机模拟出单机拨号，但是虚拟机中却有双pppoe账号拨号上网的环境，如果有初学者想测试的话，看以下以下的设定，了解一下思路，可以试一下！

但是现在遇到的一些问题，希望能在论坛上得到帮助！

问题：
无法按80端口转发到vpn的通道上网！具体的设定如下，当然，有的初学者可以顺便看一下，如何在单机单ADSL账号上，在虚拟机上模拟出多机，多ADSL账号拨号，实现routeros 多线设定的思路，有不解的话，可以一起讨论 QQ:83346490）

用虚拟机模拟了以下一个环境

Routeros A

      内网 lan1 (ip= 192.168.3.10/24)
      外网 gwbn-wan(ip=192.168.0.1/24)

gwbn-wan 建立通往宽带的pppoe连接 pppoe-out1

又在Routeros A 建立了 PPPoe-in1 （pppoe拨号服务器，模拟adsl拨号）和pptp服务器（做vpn借线技术使用）

以下是RouterOS A接口表
routeros interface> print 的内容

routeros  interface> print 的内容
# NAME                      TYPE       RX-RATE  TX-RATE MTU
0  R gwbn-wan                ether          0       0                1500
1  R lan                            ether          0       0                1500
2  R pppoe-out1             pppoe-out       0       0          1480
3 pppoe-in1                   pppoe-in       0       0
4 pptp-in1                   pptp-in       0       0

Pppoe-in1 和pptp-in1的设定可以参考网上相关教程
我这里routeros A 的pppoe-in1 用户设定的ip池是 192.168.3.1~192.168.3.2

Pptp-in1 用户设定的ip池是 10.10.1.1-10.10.1.2
以下是 Routeros A的路由表

[admin@MikroTik] ip> route
[admin@MikroTik] ip route> pr
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf
#    DST-ADDRESS PREF-SRC       G GATEWAY DISTANCE  INTERFACE
0 ADC 10.9.9.1/32       220.113.167.23                            pppoe-out1    宽带拨号得到的ip地址
1 ADC 10.10.1.2/32    10.10.1.1                                  <pptp-vpn1> 这个是routeros B vpn拨号分配的ip地址
2 ADC 192.168.3.2/32    192.168.3.1                               <pppoe-user2-1> 这个是routeros B pppoe分配的IP地址
3 ADC 192.168.3.0/24    192.168.3.10                               lan
4 AD  0.0.0.0/0                         r 10.9.9.1       1       pppoe-out1

Router OS A 设定ip nat 地址伪装

以下是Routeros B的设定
      内网 lan (ip=192.168.0.2/24)
      外网 wan(ip=192.168.0.3/24)
      又在RouterOS B中建立了PPPoe-out1,拨号到Routeros A 中，（添加到缺省路由）
                        另外建立了一个pptp-out1的vpn拨号链接到192.168.3.10(即RouterOS A的地址),建立pptp通道

      理论上讲，如果routeros B 中，如果没有建立pppoe-out1连接，得到访问192.168.3.0网段的ip地址192.168.3.2，是无法建立连到192.168.3.10
A pptp-out1的连接的！不知道这样讲是否正确

以下是Roteros B 的接口表
[admin@MikroTik] interface> pr
Flags: X - disabled, D - dynamic, R - running
# NAME                                     TYPE          RX-RATE TX-RATE MTU
0  R lan                                        ether          0       0       1500
1  R wan1                                     ether          0       0       1500
2  R pppoe-out1                               pppoe-out       0       0       1480
4  R pptp-out1                                  pptp-out       0       0       1460

[Router OS B 设定伪装
[admin@MikroTik] ip firewall nat> pr
Flags: X - disabled, I - invalid, D - dynamic

0 chain=srcnat action=masquerade

RouterOS B 的路由表

[admin@MikroTik] ip route> pr
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
#    DST-ADDRESS    PREF-SRC G GATEWAY    DISTANCE  INTERFACE
0 ADC 10.10.1.1/32    10.10.1.2                               pptp-out1  (拨号到roueros A 的vpn)
1 ADC 192.168.0.0/24    192.168.0.2                               lan
2 ADC 192.168.3.1/32    192.168.3.2                               pppoe-out1 (拨号到routeros A的pppoe
3 A S 0.0.0.0/0                         r 10.10.1.1             pptp-out1
4 AD  0.0.0.0/0                         r 192.168.3.1    1       pppoe-out1

此时，如果，设定一客户机，网关指定为roueros B，可以正常上网
Tracert 的路径为
192.168.0.2 (routeros B)
192.168.3.1(routeros A)
10.9.9.1 (routeros A 的宽带)
220.113.167.23
…….

以上实现了用routeros 建立pppoe服务器的过程
现在要实现端口转发并走vpn通道，但现在出一些问题，一直搞不明
请朋友帮忙看一下，问题可能出在哪里

我是这样设定的
Routeros B 设定端口转发标志

[admin@MikroTik] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic

0 chain=prerouting protocol=tcp dst-port=80 connection-limit=100,32 action=mark-connection
new-connection-mark=http passthrough=yes
(建立tcp 80端口的连接标志 http)

1 chain=prerouting connection-mark=http action=mark-routing new-routing-mark=web
passthrough=yes
(将所有连接标志为http的，转发到web 路由标志)

routeros B的路由标志
#    DST-ADDRESS    PREF-SRC G GATEWAY    DISTANCE  INTERFACE
0 ADC 10.10.1.1/32    10.10.1.2                               pptp-out1  (拨号到roueros A 的vpn)
1 ADC 192.168.0.0/24    192.168.0.2                               lan
2 ADC 192.168.3.1/32    192.168.3.2                               pppoe-out1 (拨号到routeros A的pppoe
3 A S 0.0.0.0/0                         r 10.10.1.1             pptp-out1 (路由标志标为 WEB)
4 AD  0.0.0.0/0                         r 192.168.3.1    1       pppoe-out1

现在客户机，依然网关指定为routeros B ,也是可以上网，但是tracert 跟踪路由确不是通过 routeros A的vpn走，用viuseroute 软件跟踪www.163.com 80端口，也不是通过routeros A的vpn走，查看routeros B的pptp-out1也没数据流出，mangle所做的http连接，也没有数据流出

按网上看到的教材，访问80端口的数据，路由走向应该是
192.168.0.2(routeros B)->10.10.1.1 (routeros A  VPN通道) -> 10.9.9.1 (routeros A上的宽带连接) -> 220.113.167.23 ->目标80端口数据才对
但是现在，访问80端口的数据，依然是
192.168.0.2(routeros B)->192.168.3.1 (routeros A)-> 10.9.9.1 (routeros A上的宽带连接) -> 220.113.167.23 ->目标80端口数据,并没有通过vpn通道走请问有可能出现在哪些步骤没设定好呢？

希望有高手能帮解答一下

[ 本帖最后由 fjxm-wjd 于 2007-5-14 03:38 编辑 ]

crack_ros · 发表于 2007-5-14 00:38:12

不知道你想说什么

fjxm-wjd · 发表于 2007-5-14 03:37:19

up一下，如果有朋友知道如何解决的话，帮忙回答一下

fjxm-wjd · 发表于 2007-5-14 14:35:36

难道，这个问题，真的很困难的吗／

systemroot · 发表于 2008-1-2 12:12:21

设置了网关标记，但QQ等能通过VPN出去，就是网页打不开。
DNS解释也能通过VPN解释正常。

账号		自动登录	找回密码
密码			注册

[策略设置] vpn+策略端口路由设置问题(PS:提供虚拟机学习 routeros思路)

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

你的问题跟我的相似