作者Clestis (JERRY)
看板Network
标题Re: [问答] 想问ROUTEROS的VPN,在6.43後版本出问题
时间Sun Mar 31 13:53:56 2019
最後原因找到了,是我的firewall上mangle的route mark让我使用proxy-arp没作用,
因为我多个wan ip所以有做route mark,来针对内网ip有走哪条wan出口的策略路由,
只是没想到是说vpn无法ping到内网是这个原因,毕竟我在6.39板之前使用这方法,
也并不受影响,再者所有内网IP都是由同个DHCP SERVER发出IP,但由於版本差距过大
也不知道这部分在哪个版本上对此有变动。
不过虽然原因找到了,但还不知道如何解决,让可不关闭现有的策略路由,能ping到内网
以及让一些透过vpn连入的用户端无法ping到内网,还能否烦请各位赐教一下,我之前认
为vpn既然连入并开放连入内网,这样应该可以回应vpn连入的用户端,所以认为无关内网
IP走哪条路由出去,该不会真的得要建立多个VPN SERVER来对应各出口的内网用户端吧??
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 210.64.69.128
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1554011638.A.D19.html
1F:推 bigcoke: 把内网网段排除在Mangle的标记规则内可以试试看 让走内网 04/01 00:16
2F:→ bigcoke: 网段的部分不要一起依策略路由走 04/01 00:16
3F:→ Clestis: 感谢回应不过这些策略路由是有其用途所以才这样做, 04/01 13:00
4F:→ Clestis: 如果关掉的话,就失去作策略路由的意义,所以如有MANGLE 04/01 13:02
5F:→ Clestis: 以外的方法做策略路由才会考虑,在想会不会再ROUTE那可代 04/01 13:04
6F:→ Clestis: 替PROXY ARP无法在有策略路由的状态下做与内网连线 04/01 13:06
7F:→ deadwood: 请问你内网policy route的出口IP,跟提供VPN服务的IP是 04/01 15:49
8F:→ deadwood: 如果不同,试着把VPN服务的IP改成同一个 04/01 15:51
9F:→ deadwood: 或是增加一条policy route:来源-LAN IP,目的:VPN网段 04/01 15:55
10F:→ deadwood: 走VPN服务所使用的WANport做为出口 04/01 15:56
11F:→ Clestis: 我最近再找时间看看 刚好最近有点忙比较没时间试 04/04 13:56