MikroTik RouterOS 隧道構建

MikroTik RouterOS 隧道構建

Halt

某內鬼在群組中說,目前 GFW 的 DPI 技術僅可識別一層協議。

這大概就是 gost mss 隧道套 shadowsocks 依舊非常好用的原因之一。


最近在學習 MikroTik RouterOS 的日常使用。分享一下。


根據反饋,在國內移動和電信網絡中使用 GRE 隧道作爲最外層協議,並在內部進行加密的隧道套娃可達到較好效果。


下面爲兩臺單網卡的 VPS上 (HK and USA)配置 IPIP over IPSec over GRE 隧道,並在 USA 端進行端口轉發的筆記。


VPS 安裝 ROS 可以使用以下腳本。 https://github.com/Jamesits/vps2routeros

以下配置均需要在兩端進行,只筆記其中一端的配置。


#1 搭建 GRE 隧道

Interface List - GRE Tunnel

MTU 1500

Keepalive 開啓

兩端連接成功後,可以看到前面 R 字母。

配置 GRE 隧道


#2 給 GRE 隧道兩端分配 IP 地址

這裏可以選用不同的內網 IP 段(可隨意選取網段),ROS 會自動把他們接通的。

爲了方便我選擇了同一段。

IP - Address List

注意這裏的IP地址需要有子網掩碼(/24之類)。Network可以不填,系統會自動補全。

HK 10.0.1.1

USA 10.0.1.2

分配IP,並指定給 GRE 隧道的接口
配置好 IP 後,即可 ping 通



#3 配置 IPIP over IPsec 隧道

Interface List - IP Tunnel

配置 IPIP over IPSec


#4 爲 IPIP 隧道分配 IP

HK 172.16.1.1

USA 172.16.1.2

爲 IPIP 隧道分配 IP
兩端配好後即可 ping 通


#5 配置 NAT 規則

這裏是希望流量能從隧道的 HK 端流入。從 USA 端流出,並根據對應端口進行轉發。


## HK 端配置

1) srcnat chain 配置

IP - Firewall - NAT

新建 srcnat
配置 srcnat 爲 masquerade

2)dstnat chain 配置

轉發 10000-65535 端口
轉發到 IPIP 隧道對端 IP


TCP 和 UDP 分別配置一條 dstnat



## USA 端配置

1)參考上面配置 masquerade

2)配置端口轉發 dstnat

轉發 1000 端口的 TCP 協議
設置轉發的目的地址和端口


到這裏整個 IPIP over IPSec over GRE 隧道的端口轉發就完成啦。



# 參考鏈接:

https://www.jannet.hk/en/post/gre-over-ipsec-vs-ipsec-over-gre/

https://www.jumping-frog.de/project-details/part-1-ipsec-over-gre-with-mikrotiks-routeros-and-linux.html

需要特別提醒的是,在 GRE 隧道面板上填寫 IPSec 密鑰,其實是 GRE over IPSec。鏈接中的老外把它搞反了,當然配置過程是絕對OK的。







Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org