صفحه 1 از 2 1 2 آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 از مجموع 18

موضوع: راه اندازی وی پی*ان کلاینت در میکروتیک

  
  1. #1
    نام حقيقي: Danial

    خواننده
    تاریخ عضویت
    Oct 2011
    محل سکونت
    HackSkyNet
    نوشته
    27
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    21

    راه اندازی وی پی*ان کلاینت در میکروتیک

    سلام

    من یه مودم adsl مارک td-w8970 300mb دارم که با کابل شبکه به به پورت شماره ۱ میکروتیک وصل شده و اینترنت رو به میکروتیک میده.



    لازم به ذکر است میکروتیک مدل rb951g-2HnD هست که قبلا برای اکانتیک اینترنت خونه کانفیگ شده و هنوز در حال استفاده از طریق userman هستم. لایسنس لول ۴ با فریم ورک 6.47.3


    میخوام روی میکروتیک یه VP*N ست کنم با هر پروتکلی که امروزه جواب میده مثل وایرگارد IKEv2 و... که وقتی همه دستگاههایی که به میکروتیک وصل میشن خروجی اونها بشه بدون فیلتر
    تا هر دستگاه مجددا به vp*n وصل نشن و آیپی همه vp*n بشه.


    پ.ن : منظور از vp*n بالا که قرمز مشخص کردم یعنی اکانتشو خریدم از لایسنس هات اسپات شیلد ؛ اکسپرس ، HMA ، windscribe تا vp*n معمولی مانند pptpو... در سرور خارجی




    موضوعات مشابه:

  2. #2
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    میتونید از منوی اینترفیس، یک کانکشن جدید کلاینت مثل l2tp یا sstp بسازید
    بعد ارتباط رو باهاش برقرار کنید، سپس در بخش IP Route ، آدرس دی ان اس سرور هایی که برای روتر مشخص کردید رو به داخل تونل بفرستید.
    همینطور یک روت پیشفرض، چه بصورت داینامیک و چه بصورت دستی نیاز هست که بسازید تا تمام ترافیک شبکه به داخل تونل هدایت بشه.









    البته به این صورت تمام ترافیک همه دستگاه ها به داخل وی پی ان میره، اگه بخواهید تفکیک انجام بدین میتونید بصورت حرفه ای تر از منگل استفاده کنید.

    https://wiki.mikrotik.com/wiki/Policy_Base_Routing


    Daniel4u و testverifa سپاسگزاری کرده‌اند.

  3. #3
    نام حقيقي: Danial

    خواننده
    تاریخ عضویت
    Oct 2011
    محل سکونت
    HackSkyNet
    نوشته
    27
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    21
    سلام
    ضمن تشکر از توجهتون
    موارد انجام دادم اما از سد فیلترینگ عبور نکرد
    توجهتون رو به تنظیمات روتر جلب میکنم شاید ایرادی در کارم باشد







  4. #4
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    شما باید برای وی پی ان هم یک دونه دیفالت روت بسازید با توجه به اینکه تیک Add Default Route رو نگذاشتید، پس روت زیر رو کم ساختید :




    مسئله دوم ایکه حتما حواستون باشه در بخش Ip/Firewall/NAT یک NAT هم برای وی پی ان بسازید، جدای از اون NAT ای که برای اتصال کاربرها به اینترنت نوشتید:





    این رول رو بالاتر از Rule مربوط به اینترنت بذارید مثلا اگه رول NAT مودم شماره 11 هست، این Rule رو بعد از نوشتن جابجا کنید و محل شماره 10 قرار دهید.


    EVERAL و Daniel4u سپاسگزاری کرده‌اند.

  5. #5
    نام حقيقي: Danial

    خواننده
    تاریخ عضویت
    Oct 2011
    محل سکونت
    HackSkyNet
    نوشته
    27
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    21
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    شما باید برای وی پی ان هم یک دونه دیفالت روت بسازید با توجه به اینکه تیک Add Default Route رو نگذاشتید، پس روت زیر رو کم ساختید
    مسئله دوم ایکه حتما حواستون باشه در بخش Ip/Firewall/NAT یک NAT هم برای وی پی ان بسازید، جدای از اون NAT ای که برای اتصال کاربرها به اینترنت نوشتید:

    این رول رو بالاتر از Rule مربوط به اینترنت بذارید مثلا اگه رول NAT مودم شماره 11 هست، این Rule رو بعد از نوشتن جابجا کنید و محل شماره 10 قرار دهید.
    ضمن تشکر و قدردانی که بدون چشم داشتی راهنمایی کردین با انجام تغییراتی که فرمودین با موفقیت انجام و تست شد .
    برای قطع کردن و برگرداندن به اینترنت عادی کدام بخش را باید غیرفعال کنم؟
    همچنین اینکه با این روش چه پروتکلهایی میشه اعمال کرد ؟ مثلا فقط sstp و pptp میشه ؟



  6. #6
    نام حقيقي: Danial

    خواننده
    تاریخ عضویت
    Oct 2011
    محل سکونت
    HackSkyNet
    نوشته
    27
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    21
    همچنین تصویر زیر را توجه فرمایید سوال تصویری مطرح کردم ممنون میشم راهنمایی کنید:




  7. #7
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    نقل قول نوشته اصلی توسط Daniel4u نمایش پست ها
    ضمن تشکر و قدردانی که بدون چشم داشتی راهنمایی کردین با انجام تغییراتی که فرمودین با موفقیت انجام و تست شد .
    برای قطع کردن و برگرداندن به اینترنت عادی کدام بخش را باید غیرفعال کنم؟
    همچنین اینکه با این روش چه پروتکلهایی میشه اعمال کرد ؟ مثلا فقط sstp و pptp میشه ؟
    با غیرفعال کردن (Disable) کانکشن وی پی ان در interface وضعیت به حالت قبل بر میگرده.
    هر کانکشن وی پی ان و تونلی که میکروتیک پشتیبانی کنه رو شما میتونید استفاده کنید، داخل بخش اینترفیس لیست اونها موجوده ، l2tp+ipsec / ikev2/IPIP/PPTP/SSTP/ovpn و غیره

    به سلامتی که مشکلتون حل شد.

    - - - ادامه - - -

    نقل قول نوشته اصلی توسط Daniel4u نمایش پست ها
    همچنین تصویر زیر را توجه فرمایید سوال تصویری مطرح کردم ممنون میشم راهنمایی کنید:
    ارتباط به صورت chap و pap دارای امنیت نیست، بنابراین پیشنهاد میکنم که این تیک ها رو هیچ زمان فعال نکنید.
    مقدار distance کمتر از یک نمیتونه بشه، وقتی دوتا کانکشن همزمان داشته باشید، داده ها به مقصدی ارسال میشه که distance پایین تری داره.

    برای اینکه وضعیت رو بهتر کنید، پیشنهاد میکنم از Policy Base Routing استفاده کنید.
    یعنی بیاین و تیک add default route اینترفیس وی پی ان رو بردارید و بعد یک روت بنویسید که فقط داده های مارک شده رو به داخل تونل وی پی ان بفرسته به صورت زیر :



    اون موقع به سراغ ip/Firewall/Mangle بروید و بصورت حرفه ای مشخص کنید که چه داده هایی مارک گذاشته باشن و به داخل تونل وی پی ان برند و طبیعی هست داده های مارک نشده بصورت مستقیم و بدون وی پی ان ارتباطتشون برقرار میشه.
    ش ی لت ر در میکروتیک نیاز به تعریف ای پی


    Daniel4u سپاسگزاری کرده است.

  8. #8
    نام حقيقي: Danial

    خواننده
    تاریخ عضویت
    Oct 2011
    محل سکونت
    HackSkyNet
    نوشته
    27
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    21
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    با غیرفعال کردن (Disable) کانکشن وی پی ان در interface وضعیت به حالت قبل بر میگرده.
    هر کانکشن وی پی ان و تونلی که میکروتیک پشتیبانی کنه رو شما میتونید استفاده کنید، داخل بخش اینترفیس لیست اونها موجوده ، l2tp+ipsec / ikev2/IPIP/PPTP/SSTP/ovpn و غیره

    به سلامتی که مشکلتون حل شد.

    - - - ادامه - - -

    ارتباط به صورت chap و pap دارای امنیت نیست، بنابراین پیشنهاد میکنم که این تیک ها رو هیچ زمان فعال نکنید.
    مقدار distance کمتر از یک نمیتونه بشه، وقتی دوتا کانکشن همزمان داشته باشید، داده ها به مقصدی ارسال میشه که distance پایین تری داره.

    برای اینکه وضعیت رو بهتر کنید، پیشنهاد میکنم از Policy Base Routing استفاده کنید.
    یعنی بیاین و تیک add default route اینترفیس وی پی ان رو بردارید و بعد یک روت بنویسید که فقط داده های مارک شده رو به داخل تونل وی پی ان بفرسته به صورت زیر :



    اون موقع به سراغ ip/Firewall/Mangle بروید و بصورت حرفه ای مشخص کنید که چه داده هایی مارک گذاشته باشن و به داخل تونل وی پی ان برند و طبیعی هست داده های مارک نشده بصورت مستقیم و بدون وی پی ان ارتباطتشون برقرار میشه.
    ش ی لت ر در میکروتیک نیاز به تعریف ای پی
    بله از راهنمایی های تصویری و کتبی شما انجام شد.
    با توجه به تذکری که دادین در اینترفیس PPPoE مقدار دیستنس را 1 و دوتا تیک زیر را هم غیرفعال کردم.
    در خصوص رول پلیسی شما تجربه و تخصص دارید و حرفه ای عکل کزدین این را در تاپیک معرفی شده در پست قبلیتون مشاهده کردم . بنده باید تلاش و آزمون خطا بکنم چون کاربر عادی هستم و تجربه کافی ندارم اما واقعا جالب و حرفه ای بود این امر.

    - - - ادامه - - -

    هم اکنون من 2 تا اکانت پرمیوم از سرویس دهنده های : نورد وی پی*ان و هات اسپات شی*لد دارم و در سایتهاشون دیدم
    هات اسپات متاسفانه راه حلی برای اجرای تونل در میکروتیک چیزی نداشت و تنها نورد بود که راه حلی در آدرس زیر گفته
    لینک نورد - لینک همان توضیحات در ویکی میکروتیک
    من طبق دو آدرس بالا که تقریبا مشابه هستن پیش رفتم اما وقتی به روتر وصل شدم در پیان کار اینترنتی نداشتم که با سرچ سه تا صفحه زیر را پیدا کردم اما دیگه سر در نیاوردم
    صفحه 1
    صفحه 2
    صفحه
    3

    در حال حاضر از پروتکل L2T*P IPsec استفاده میکنم از سایت رایگان زیر
    لینک سایت
    اکانتش خوبه ولی یکم سرعتش پایینه حالا احتمالا بخاطر محدودیت های ایرانه یا کلا روش تونل سرعت کم میشه و یا سرویس دهنده بسیار شلوغه رو متوجه نشدم اما کار راه اندازه.

    اگر تجربه ای در خصوص سرویس خوب و یا همین نورد وی پی*ان دارین ممنون میشم راهنمایی کنید.
    اگر هم نیازه اکانت پرمیوم نورد رو برای تست براتون بفرستم.



  9. #9
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    خب توی اون لینک ویکی میکروتیک به خوبی توضیح داده که چطور شما به سادگی با بخش IPsec میکروتیک، یک تونل IKEv2 به نورد بزنید.
    بعد از اینکه دستورات رو دنبال کردین و یوزر و پسورد رو وارد کنید، شما باید قبل از هرچیزی مطمعن بشید که تونلتون برقرار شده، تونل برقرار شده در بخش
    IP/Ipsec/Active Peers قابل مشاهده هست که باید در وضعیت established باشه
    با این دستور در ترمینال هم میتونید ببینید:
    /ip ipsec
    active-peers print

    بعد از اینکه تونل را برقرار کردید، دو گزینه متفاوت به شما داده، گزینه اول میگه چطور تمام ترافیک شبکه را از داخل تونل عبور دهید
    گزینه دوم به شما میگه چطور بخشی از ترافیک شبکه خودتون رو از داخل تونل عبور دهید.
    بطور کلی کار سختی در پیش ندارید، میتونید فعال کنید و سرعت را مقایسه کنید، من از تونل های L2tp+Ipsec شرکت های استرانگ و اکسپرس نیز استفاده کردم و سرعتش برام قابل قبول بوده اما فکر میکنم اگه به این روش به نورد یا سورف شارک متصل بشید سرعت بیشتری دریافت کنید




  10. #10
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    نورد رو کانفیگ کردم روی دستگاه خودم با اکانتی که دوستان در اختیارم گذاشتن، به خوبی کار کرد و سرعتش از L2TP بیشتر هست.
    فقط چندتا نکته مهم توی کانفیگ IKEV2 هست که باید توجه کنید، فرمان اول توی دستورالعمل کار نمیکنه :

    کد:
    /tool fetch url="https://downloads.nordvpn.com/certificates/root.der"
    علتشم اینه که کل ترافیک خود روتر شما قبل از کانفیک از داخل تونل رد نمیشه و این سایت مسدود هست، کافیه فایل مورد نظر در این آدرس رو بصورت دستی دانلود کنید و در بخش file در روتر خودتون بگذارید.

    در این دستور هم اسم یا آی پی سرور وارد میشه :
    کد:
    /ip ipsec peer add address=lv20.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN
    در این یکی هم بعد از اینکه با اکانت خودتون به سایت نورد لاگین کردین، یوزر و پسورد اتصال به تونل رو از داخل سایتشون برمیدارید و در این فرمان جایگزین بخش یوزر و پسورد میکنید:

    کد:
    /ip ipsec identity add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=NordTunnelUser password=NordPasswordTunnel





    تفاوت مهم دیگه ای که با سایر تونل ها داره اینه که باید از کانکشن مارک برای هدایت داده ها به سمت تونل استفاده کنید و دیگه از Route Mark استفاده نمیشه




    Daniel4u سپاسگزاری کرده است.

  11. #11
    نام حقيقي: Danial

    خواننده
    تاریخ عضویت
    Oct 2011
    محل سکونت
    HackSkyNet
    نوشته
    27
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    21
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    نورد رو کانفیگ کردم روی دستگاه خودم با اکانتی که دوستان در اختیارم گذاشتن، به خوبی کار کرد و سرعتش از L2TP بیشتر هست.
    فقط چندتا نکته مهم توی کانفیگ IKEV2 هست که باید توجه کنید، فرمان اول توی دستورالعمل کار نمیکنه :

    کد:
    /tool fetch url="https://downloads.nordvpn.com/certificates/root.der"
    علتشم اینه که کل ترافیک خود روتر شما قبل از کانفیک از داخل تونل رد نمیشه و این سایت مسدود هست، کافیه فایل مورد نظر در این آدرس رو بصورت دستی دانلود کنید و در بخش file در روتر خودتون بگذارید.

    در این دستور هم اسم یا آی پی سرور وارد میشه :
    کد:
    /ip ipsec peer add address=lv20.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN
    در این یکی هم بعد از اینکه با اکانت خودتون به سایت نورد لاگین کردین، یوزر و پسورد اتصال به تونل رو از داخل سایتشون برمیدارید و در این فرمان جایگزین بخش یوزر و پسورد میکنید:

    کد:
    /ip ipsec identity add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=NordTunnelUser password=NordPasswordTunnel





    تفاوت مهم دیگه ای که با سایر تونل ها داره اینه که باید از کانکشن مارک برای هدایت داده ها به سمت تونل استفاده کنید و دیگه از Route Mark استفاده نمیشه
    بنظر همزمان انجام دادیم و منم وصل شدم در سری قبل هم کانکشن در قسمت IP/Ipsec/Active Peers در وضعیت established بود اما وصل نمیشد
    امشب شما گفتین آموزش سایت میکروتیک کاملتره و طبق اون پیش رفتم که در نهایت اونم به همین صورت بود و کانکنشن برقرار شد اما بازم وصل نشد و تنها تفاوتی که من بین دوتا آموزش دیدم در قسمت
    /ip firewall address-list
    add address=192.168.88.0/24 list=local
    /ip firewall address-list
    add address=10.5.8.0/24 list=local
    بود
    به ترتیب وارد و هر کدام را جدا تست کردم اما نتیجه نداد
    طبق تصویر زیر من خودم تغییر دادم به یک عدد در رنج آیپی میکروتیک یعنی 192.168.10.0/24 اما کلا هیچ سایتی چه ایرانی چه خارجی بالا نیومد
    مجددا تغییر دادم به یک آدرس دلخواه مثلا 192.168.20.0/24 در این شرایط فقط سایت های ایرانی باز میشد
    همینطوری و شانسی آی پی رو به رنج مودم ADSl تغییر دادم و یعنی 192.168.1.0/24 و تمام سایت ها باز شدن
    اما چیزی که جالبه اینه که میرم what is my ip بهم آی پی ایران نشون میده

    این بنظرم یجای کارم ایراد داره
    و یه چیز دیگه اینکه نمیدونم این آی پی 10.6.1.82 از کجا اومده که نورد هم به این وصل میشه
    تصویر را مشاهده نمایید لطفا



    موارد فوق در مورد دانلود سرتیفیکیت فایل و آدرس نورد دقیقا نکته مهمی اشاره کردین و من در ابتدا به مشکل خوردم سپس شک کردم به این قضیه ولی جواب نداد و فیلترش*کن سیستم را وصل کردم و بازم جواب نداد نمیدونم چرا اما با همون تونل IPsec که در ابتدا بهم آموزش دادین روتر را بدون فیلتر و فایل را دانلود کردم
    من در دستور زیر از IP استفاده کردم چون با سابقه اتفاق بالا شک داشتم که وصل نشه.
    /ip ipsec peer
    add address=lv20.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN

    در مرود سرعت من با همون IPSec رایگان مقایسه کردم نورد سریعتر وصل میشد و سایت ها با تاخیر کمتری باز میشدن و پایدار بود
    در IPsec رایگان نوسان سرعت داشتم و یک سایت بعد از چند ثانیه حدودا 5 ثانیه طول میکشید تا مرورگر عملیات لودینگ را انجام دهد اما در نورد پایدار و سریع بود ولی سرعت نهایی دانلود هردو یکسان بودن


    اصلاحیه:
    خیلی جالبه با گوشی اصلا از فیلترینگ رد نمیشه و فقط همین سیستم که باهاش کار میکنم وصله
    الان گوشی و لپتاپ هردو به وایرلس میکروتیک وصلن اما گوشی مثل روال عادی باز میکنه ولی برای لپتاپ اتفاق زیر افتاد
    فیسبوک باز میکنه - چندتا سایت فیلتر دیگه هم باز میکنه مثل بی بی سی ولی یوتوب باز نمیشه - تلگرام باز نمیشه


    ویرایش توسط Daniel4u : 2020-09-19 در ساعت 11:08 PM

  12. #12
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    بله کار خوبی کردین که سرور رو با آی پی وارد کردین تا DNS مشکل ساز نشه، اما اگه DoH روی دستگاهتون تنظیم کنید و هیچ DNS معمولی دیگه روش نزنید، خیالتون میتونه از DNS یکبار واسه همیشه راحت بشه :
    https://jcutrer.com/howto/networking...dns-over-https

    ====
    دوتا نکته دیگه رو هم من فهمیدم که توی آموزش میکروتیک بهش اشاره ای نشده
    اول اینکه تونل Ipsec با فست ترک کار نمیکنه، اگه توی روتر خودتون فست ترک انجام دادین در بخش IP/Firewall/Filter حتما باید در اون قواینین، بخش مارک کانکشن رو باز کنید و بگید داده هایی که خلاف کانکشن مارک شما هست رو فقط مجاز به فست ترک کردن هست.
    (البته این در صورتی هست که از کانکشن مارک استفاده کنید برای تونل خودتون که اگه اینکار رو نمیکنید، هرگونه قانون فست ترکی در روتر خودتون رو فعلا غیر فعال کنید.)




    نکته مهم دوم اینه که باید در Ipsec policy حتما یک یا چندتا پالیسی جدید اضافه کنید و اعلام کنید داده هایی که به مقصد شبکه داخلی هست رو کاری باهاشون نداشته باشه و action برابر none باشه.

    کد:
    /ip ipsec policy add action=none dst-address=<YOUR.LAN.SUB.NET> src-address=0.0.0.0/0 place-before=1





    تونل الان داره برای من خیلی خوب و سریع کار میکنه و کمترین مشکلی نداره با اینکه شبکه بزرگی دارم و واقعا قوانین و برنامه هایی بسیار بسیار زیادی رو به روتر خودم دادم که فکر میکردم باعث ایجاد تداخل بشه اما نشد و مشکلی نداره.

    البته من دوتا اکانت سورف شارک گرفتم و سعی کردم همین تونل رو به اونها هم بزنم، بدون این که در تنظیمات تغییر اضافه ای بدم طبق راهنمایی پشتیبانی سورفشارک عمل کردم و مشابه تنظیمات اشاره شده میکروتیک، اما متاسفانه دائم تونلش قطع میشه و ارتباط بصورت کامل بقرار نمیشه.

    در مراحل احراز هویت خطا پیش میاد و متاسفانه هنوز متوجه نشدم مشکلم در ارتباط با سورف شارک چی هست.



    - - - ادامه - - -

    ===============
    اون IP مربوط به 10.6.1.82 ای پی خصوصی سرور نورد هست، وقتی بهش وصل میشید آی پی اعلام میشه تا بتونید ارتباط برقرار کنید، باید باشه و بصورت خودکار بوجود میاد، کاری باهاش نداشته باشید.

    اونجور که از تصاویر مشخصه، رنج شبکه داخلی شما که روترتون بصورت DHCP Server داره آی پی اختصاص میده 192.168.10.0/24 هست دیگه.
    بنابراین نیازی به دادن آی پی جداگانه به eth2 ندارید، و همین رنج آی پی رو باید در آدرس لیست local اضافه کنید

    کد:
    /ip firewall address-list add address=192.168.10.0/24 list=local
    همینطور در بخش Ipsec policy و در بخش dst.Address و action برابر None بگذارید:

    کد:
    /ip ipsec policy add action=none dst-address=192.168.10.0/24 src-address=0.0.0.0/0 place-before=1



    Daniel4u سپاسگزاری کرده است.

  13. #13
    نام حقيقي: Danial

    خواننده
    تاریخ عضویت
    Oct 2011
    محل سکونت
    HackSkyNet
    نوشته
    27
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    21
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    بله کار خوبی کردین که سرور رو با آی پی وارد کردین تا DNS مشکل ساز نشه، اما اگه DoH روی دستگاهتون تنظیم کنید و هیچ DNS معمولی دیگه روش نزنید، خیالتون میتونه از DNS یکبار واسه همیشه راحت بشه :
    https://jcutrer.com/howto/networking...dns-over-https

    ====
    دوتا نکته دیگه رو هم من فهمیدم که توی آموزش میکروتیک بهش اشاره ای نشده
    اول اینکه تونل Ipsec با فست ترک کار نمیکنه، اگه توی روتر خودتون فست ترک انجام دادین در بخش IP/Firewall/Filter حتما باید در اون قواینین، بخش مارک کانکشن رو باز کنید و بگید داده هایی که خلاف کانکشن مارک شما هست رو فقط مجاز به فست ترک کردن هست.
    (البته این در صورتی هست که از کانکشن مارک استفاده کنید برای تونل خودتون که اگه اینکار رو نمیکنید، هرگونه قانون فست ترکی در روتر خودتون رو فعلا غیر فعال کنید.)




    نکته مهم دوم اینه که باید در Ipsec policy حتما یک یا چندتا پالیسی جدید اضافه کنید و اعلام کنید داده هایی که به مقصد شبکه داخلی هست رو کاری باهاشون نداشته باشه و action برابر none باشه.

    کد:
    /ip ipsec policy add action=none dst-address=<YOUR.LAN.SUB.NET> src-address=0.0.0.0/0 place-before=1





    تونل الان داره برای من خیلی خوب و سریع کار میکنه و کمترین مشکلی نداره با اینکه شبکه بزرگی دارم و واقعا قوانین و برنامه هایی بسیار بسیار زیادی رو به روتر خودم دادم که فکر میکردم باعث ایجاد تداخل بشه اما نشد و مشکلی نداره.

    البته من دوتا اکانت سورف شارک گرفتم و سعی کردم همین تونل رو به اونها هم بزنم، بدون این که در تنظیمات تغییر اضافه ای بدم طبق راهنمایی پشتیبانی سورفشارک عمل کردم و مشابه تنظیمات اشاره شده میکروتیک، اما متاسفانه دائم تونلش قطع میشه و ارتباط بصورت کامل بقرار نمیشه.

    در مراحل احراز هویت خطا پیش میاد و متاسفانه هنوز متوجه نشدم مشکلم در ارتباط با سورف شارک چی هست.



    - - - ادامه - - -

    ===============
    اون IP مربوط به 10.6.1.82 ای پی خصوصی سرور نورد هست، وقتی بهش وصل میشید آی پی اعلام میشه تا بتونید ارتباط برقرار کنید، باید باشه و بصورت خودکار بوجود میاد، کاری باهاش نداشته باشید.

    اونجور که از تصاویر مشخصه، رنج شبکه داخلی شما که روترتون بصورت DHCP Server داره آی پی اختصاص میده 192.168.10.0/24 هست دیگه.
    بنابراین نیازی به دادن آی پی جداگانه به eth2 ندارید، و همین رنج آی پی رو باید در آدرس لیست local اضافه کنید

    کد:
    /ip firewall address-list add address=192.168.10.0/24 list=local
    همینطور در بخش Ipsec policy و در بخش dst.Address و action برابر None بگذارید:

    کد:
    /ip ipsec policy add action=none dst-address=192.168.10.0/24 src-address=0.0.0.0/0 place-before=1
    برای من هم این اتفاق افتاد در ابتدا و با تغییر آدرس ها درست شد همون آدرسی که گفتم 192.168.10.0/24 منظورمه
    ولی بعد کل سیستم و اینترنت و همه چیو ریست دادم درست شد. نمیدونم ربطی به این موضوع داره یا نه

    الان هم اون دوتا کد زیر را تنظیم کردم و دیگه کلا هیچ سایتی بالا نمیاد
    من عکسی از لاگ و تنظیمات روتر گذاشتم که ممنون میشم مشاهده کنید.
    در مورد فست ترک من تنظیماتی نداشتم. این روتر رو برای منزل که مهمان زیاد داشتیم و هی اینترنت مصرف میکردن خریدم ولی الان در این ایام کرونایی گفتم استفاده در این خصوص داشته باشم برای همین مثل شما کاربر حرفه ای نیستم و تنظیمات خاصی ندارم. با این حال شما اگر مشاهده کنید شاید ایراداتی که داشتم رو مشاهده و بیان کنید.




    در مورد سورف شارک تا حالا کار نکردم اما با اکسپرس - نورد - ویناسکرایب - هات اسپات شیلد - اچ ام ای و چندتا متفرقه کار کردم و به جرات میتونم بگم اکسپرس یک سرو گردن بالاتر از بقیه بود و بعد از اون وینداسکرایب با پروتکل وایرگارد .
    اکانت رایگان کلش وی پی ان هم دارم اما نمیدونم بدرد میخوره یا نه اگر لازمه براتون بفرستم



  14. #14
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    خب مشکل بازشدن سایت ها مربوط به این میشه که DoH تنظیم نکردین
    یا بجاش میتونید این رو در فایروال خودتون اضافه کنید:

    کد:
    /ip firewall mangle add chain=output out-interface=ether1 dst-address=8.8.8.8 action=mark-connection new-connection-mark=VPN /ip firewall mangle add chain=prerouting in-interface=bridge1 dst-address=!192.168.10.0/24 action=mark-connection new-connection-mark=VPN /ip dhcp-server network set numbers=0 dns-server=192.168.10.1
    توی قسمت ip/DNS باید اون بخشد Dynamic خالی باشه، احتمالا توی کانکشن pppoe تیک add dns رو اضافه کردید که باید تیکش رو بردارید.

    کاکشن های مارک شده رو بفرستید توی تونل با تنظیم پایین




    از اونجایی که کانکشن شما برقراره، مشکلات شما فقط توی جزئیات پیکربندی شبکه هست وگرنه ارتباطتون به خوبی کار خواهد کرد.


    مشکل من با سورفشارک این بود که سرور انتخاب شده من به خوبی هماهنگ نمیشد و بعد از اتصال قطع میشد، متوجه شدم توی نورد هم بعضی سرورها از دسترس خارج هستند، با تعویض سرور مسئله حل شد.


    Daniel4u سپاسگزاری کرده است.

  15. #15
    نام حقيقي: Danial

    خواننده
    تاریخ عضویت
    Oct 2011
    محل سکونت
    HackSkyNet
    نوشته
    27
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    21
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    خب مشکل بازشدن سایت ها مربوط به این میشه که DoH تنظیم نکردین
    یا بجاش میتونید این رو در فایروال خودتون اضافه کنید:

    کد:
    /ip firewall mangle add chain=output out-interface=ether1 dst-address=8.8.8.8 action=mark-connection new-connection-mark=VPN /ip firewall mangle add chain=prerouting in-interface=bridge1 dst-address=!192.168.10.0/24 action=mark-connection new-connection-mark=VPN /ip dhcp-server network set numbers=0 dns-server=192.168.10.1
    توی قسمت ip/DNS باید اون بخشد Dynamic خالی باشه، احتمالا توی کانکشن pppoe تیک add dns رو اضافه کردید که باید تیکش رو بردارید.

    کاکشن های مارک شده رو بفرستید توی تونل با تنظیم پایین




    از اونجایی که کانکشن شما برقراره، مشکلات شما فقط توی جزئیات پیکربندی شبکه هست وگرنه ارتباطتون به خوبی کار خواهد کرد.


    مشکل من با سورفشارک این بود که سرور انتخاب شده من به خوبی هماهنگ نمیشد و بعد از اتصال قطع میشد، متوجه شدم توی نورد هم بعضی سرورها از دسترس خارج هستند، با تعویض سرور مسئله حل شد.
    این قسمت را پیدا نکردم
    باقی موارد چه در کد و چه در تصویری ارسالی از شما انجام دادم ولی لاگ را ببینید
    کلا نت ندارم

    و


    من احساس میکنم روتر را باید ریست بدم از اول کانفیگ بشه. بیشتر شبیه یه سیستم عامل تست شده برای من. مثل یه ویندوزی که کلی نرم افزار روش آزمون و خطا شد و دیگه مثل روز اولش سرحال نیست و باید ویندوز جدید روش نصب کرد. انگاری این روتر هم اینطوری شده.



صفحه 1 از 2 1 2 آخرینآخرین

کلمات کلیدی در جستجوها:

راه اندازی VPN داخل میکروتیک

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •