你好,
在许多论坛成员的帮助下，我设法让vlan在我的Mikrotik HapAC2路由器上工作。雷竞技网站

我们在这篇文章中描述了解决方案:viewtopic.php吗?t = 188058
解决方案是基于这篇文章:viewtopic.php吗?t = 143620

然而，我发现了一个我无法解决的问题。

根据设置，原则上只能在BASE VLAN中使用IP地址为192.168.5.1的WinBox访问路由器。但是，从任何VLAN (BLUE, GREEN)我都可以到达BLUE_VLAN的IP地址192.168.1.254的路由器。vlan之间似乎没有分离。

有什么问题吗?我应该复制什么配置?

有人能帮帮我吗?

第n次了……

如果有人观察到包流在ROS中，可以注意到最早执行的操作之一是连接跟踪分类。然后提供有关数据包在后续阶段进入哪个防火墙链的信息。当数据包的目的IP地址匹配时任何路由器自己的地址，它正在输入输入链和入口接口不改变分类结果。
现在…防火墙过滤规则(或防火墙原始规则)可以丢弃针对路由器本身但通过“外来”接口进入的数据包，但防火墙管理员必须构建它们。

我个人不认为这种过滤在任何方面提高了路由器的安全性，这纯粹是化妆的东西。如果它打扰了某人，那么很容易屏蔽它。我只是不会为无用的配置提供烹饪书代码。

重复的纳米

我不给你的参考，什么是需要的是你的完整配置在这里.....!!!!
(当然，没有任何公开的WANIP信息)。

评论:

防火墙规则在很多方面都很糟糕。
-首先混乱，因此难以遵循，把所有输入链规则放在一起，然后转发链规则。对所有人都好!!＼
-摆脱垃圾规则............
-坚持默认类型规则和clean/clear规则

固定在……在一个链条中，订单也很重要。
注:
(1)这条规则我不能做头或尾，特别是在路由器上没有子网，我可以看到(192.168.0.0/24).........请从用户的角度让我们知道这个规则的意图到底是什么。
添加动作=接受链=输入评论=\
in-interface=BR1 "接受所有LAN作品与drop输入
add action=accept chain=input comment=" accept ssh to subnet
192.168.1.0/24 dst-port=22 protocol=tcp src-address=192.168.0.0/24

如果这确实是你给vpn的ipsec地址或子网，那么它应该在FORWARD链中，因为看起来你希望通过ipsec进入的人能够访问蓝色VLAN ?

(2)这些规则我无法理解，因为你似乎从一个事物到它本身的访问，实际上这两个规则都是如此。?????????????
add action=accept chain=forward comment=" forward l2tp/ipsec远程客户端" \
Dst-address =192.168.1.0/24 in-interface=all-ppp src-address=\
192.168.1.0/24
add action=accept chain=forward comment=" forward l2tp/ipsec远程客户端" \
dst-address = 192.168.1.0/24out-interface = all-pppsrc-address = \
192.168.1.0/24

(3)这个规则太开放了，它没有详细的目的地.......
add action=accept chain=forward in-interface=BR1 src-address=192.168.1.0/24失踪dst-address吗?dst-address-list吗?out-interface吗?out-interface-list吗?

(4)这看起来像目的NAT规则，而不是端口转发规则!!
添加动作=接受链=转发dst-address = 10.0.20.2dst-port = 1195 \
in-interface-list =广域网= udp协议

这条规则对我来说毫无意义............您再次允许WAN访问BLUE VLAN，听起来像目的NAT。
add action=accept chain=forward comment="forward openVPN to Zentyal" \
dst-address = 192.168.1.1dst-port = 1196我n-interface = pppoe-out1= udp协议

另外在一个规则中你使用wan接口列表，在这里你使用实际接口为什么不一致??

(6)我在输入链上也遗漏了这个规则，因为我没有看到它的目的，它似乎是非常不标准的................??
add action=accept chain=input comment="Site2Site VPN" st-address=\
XXX.XXX.177.63 in-interface-list=WAN src-address=XXX.XXX.43.161

(7)建议您删除此设置，因为您的IP DHCP客户端由PPPOE设置处理!!
/ ip dhcp客户端
添加界面= ether1

(8)我不是很熟悉如何源nat你的局域网流量走出ipsec隧道，但这对我来说似乎不正确。我很欣赏它反映了你的ipsec策略!!
/ip firewall NAT
添加动作=接受链=srcnatdst-address = 192.168.0.0 / 24src-address = \
192.168.1.0/24

可以使用out-interface=vpn或out-interface=isipos ??我在这件事上很失望。

(9) DST NAT规则不一致。
我看到你两个规则缺少标准的动态IP in-interface-list=WAN，而其他两个使用静态IP方法，这是不正确的pppoe，除非它是一个静态IP??(dst-address = 94.21…)

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

总结:这应该是一个起点，如果你仍然有问题，那么让我们接下来解决你的轧制规则。你为什么需要它们?

亲爱的@anav，再次感谢你的帮助。
我想问一下，我是否应该简单地离开其他/ip防火墙过滤规则?我有45 /ip防火墙过滤规则…

这不是一个错误吗?什么才是正确的?
"add action=drop chain=input comment="放下其他的一切。”[/ b]
{forward链}”

(1)这条规则我不能做头或尾，特别是在路由器上没有子网，我可以看到(192.168.0.0/24).........请从用户的角度让我们知道这个规则的意图到底是什么。
添加动作=接受链=输入评论=\
in-interface=BR1 "接受所有LAN作品与drop输入
add action=accept chain=input comment=" accept ssh to subnet
192.168.1.0/24 dst-port=22 protocol=tcp src-address=192.168.0.0/24

在我的办公室和家之间有一个点对点的IPSec VPN。这两个地点都有microtik HapA雷竞技网站C2路由器。办公网络的IP地址范围为192.168.0.0/24 ~家庭网络192.168.1.0/24 (BLU_VLAN)。该规则确保两个网络中的所有设备都能看到对方，并且能够相互连接。

(2)这些规则我无法理解，因为你似乎从一个事物到它本身的访问，实际上这两个规则都是如此。?????????????
add action=accept chain=forward comment=" forward l2tp/ipsec远程客户端" \
Dst-address =192.168.1.0/24 in-interface=all-ppp src-address=\
192.168.1.0/24
add action=accept chain=forward comment=" forward l2tp/ipsec远程客户端" \
Dst-address =192.168.1.0/24 out-interface=all-ppp src-address=\
192.168.1.0/24

除了Site-to-Site VPN外，客户端还支持L2TP/IPSec VPN，用于远程办公。这些规则将引导来自L2TP/IPSec远程客户端的流量进出BLUE_VLAN。

(3)这个规则太开放了，它没有详细的目的地.......
add action=accept chain=forward in-interface=BR1 src-address=192.168.1.0/24 missing dst-address?dst-address-list吗?out-interface吗?out-interface-list吗?

该规则最初将流量路由到192.168.1.0/24网络，现在将其路由到BLUE_VLAN。还有另一个子网，但不是作为VLAN，但我不再使用它了。现在，另一个子网将是GREEN_VLAN，我将与它连接一个服务器。

(4)这看起来像目的NAT规则，而不是端口转发规则!!
添加动作=接受链=转发dst-address=10.0.20.2 dst-port=1195 \
in-interface-list = = udp广域网协议

这将是openVPN端口转发到位于GREEN_VLAN中的服务器以进行直接连接。

这条规则对我来说毫无意义............您再次允许WAN访问BLUE VLAN，听起来像目的NAT。
add action=accept chain=forward comment="forward openVPN to Zentyal" \
Dst-address =192.168.1.1 dst-port=1196 in-interface=pppoe-out1 protocol=udp

与(4)类似，这是openVPN端口转发到Zentyal服务器，Zentyal位于BLUE_VLAN…

“还在一个规则中你使用wan接口列表，这里你使用实际接口为什么不一致??”
你有什么建议?我应该使用什么WAN或ether1或pppoe指定?引用WAN不是更容易吗?

(6)我在输入链上也遗漏了这个规则，因为我没有看到它的目的，它似乎是非常不标准的................??
add action=accept chain=input comment="Site2Site VPN" st-address=\
XXX.XXX.177.63 in-interface-list=WAN src-address=XXX.XXX.43.161

该规则保证公网静态IP地址之间可以实现Site-to-Site VPN连接。

(8)我不是很熟悉如何源nat你的局域网流量走出ipsec隧道，但这对我来说似乎不正确。我很欣赏它反映了你的ipsec策略!!
/ip firewall NAT
Add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
192.168.1.0/24

如果没有这个规则，两个网络不能被穿越，它们之间没有流量，它们不能看到对方。你有更好的解决办法吗?

可以使用out-interface=vpn或out-interface=isipos ??我在这个问题上很失望。”

对不起，我不明白你的意思。vpn和isipos不是接口，而是/ppp secret下L2TP/IPSec连接使用的登录名。

(9) DST NAT规则不一致。
我看到你两个规则缺少标准的动态IP in-interface-list=WAN，而其他两个使用静态IP方法，这是不正确的pppoe，除非它是一个静态IP??(dst-address = 94.21…)

两个位置的公共IP地址都是静态IP地址……


我想让你们明白我想要实现什么，我的设计目标是什么。如果这个设置效果很好，我想进一步发展它。
目标是为可以通过L2TP/IPSec VPN远程连接的设备提供一个带有1-2个以太网和2GHz和5GHz WiFi的BLUE_VLAN，办公室和我的家庭网络通过IPSec VPN连接。
将有一个独立的子网(如DMZ) GREEN_VLAN，带有一个以太网端口，公共服务器将连接到该端口，并且可以从外部使用服务器上运行的openVPN连接到服务器进行远程工作。
将有一个2GHz WiFi以太网端口(PURPLE_VLAN)作为单独的子网供来宾使用。
最后，将有一个单独的以太网端口来管理没有WiFi或有WiFi的路由器，这仍然应该被视为一个独立的BASE_VLAN子网。
如果家里的路由器一切正常，我也得“重新编程”办公室的路由器。

非常感谢你的帮助。
谢谢

今天我按照我的期望配置了路由器。感谢@anav的帮助。

我创建了三个vlan。
第一种是用于本地网络的BLUE，有三个以太网端口和2 GHz和5 GHz WiFi。
第二个为服务器命名为GREEN，作为带有以太网端口的DMZ。
第三种是仅供客人使用的2 GHz WiFi网络。

该配置还包括两个位置之间的点到点IPSec VPN和用于远程工作的L2TP/IPSec VPN。除此之外，它还包含了服务器上运行的openVPN连接和VoIP服务器的操作的附加配置。

为了使一切正常工作，必须修改防火墙规则。我明天会附上配置，请写下你的评论，使它尽可能的好。
如果有人想根据配置创建自己的配置，他们可以使用配置。

下一步，我将以类似的方式重新配置办公室路由器。我现在要睡觉了……

谢谢你到目前为止的帮助。

我附上了一个示例配置为Mikrotik vlan。雷竞技网站该配置适用于Mikrotik Hap雷竞技网站ac2路由器，我不能保证它将正确工作在其他Mikrotik路由器。我为自己的目的创造了这个，但每个人都可以根据自己的需要修改它。
该配置包括如下示例:
三个vlan
蓝色用于本地网络以太网和2个5GHz WiFi
GREEN表示服务器的DMZ以太网
BASE仅用于访客WiFi
远程客户端L2TP/IPSec VPN for admin
通过openVPN到远程工作者服务器
IPSec用于远端站点的site -to- site VPN
Pppoe Internet连接
本地网络VoIP的星号管理规则
防火墙规则的bogon列表，端口扫描和SSH黑名单

不要用这个配置直接导入你的路由器!
在上传路由器之前，您需要更改配置中的一些特定参数!如。用户名、密码、IP地址、MAC地址等。

@pcunite的主题在创建配置方面提供了很多帮助:viewtopic.php吗?t = 143620&sid=ebd84249c28f ... 3d83c1fdd3
论坛成员也在这个话题上提供了很多帮助:viewtopic.php吗?t = 188058

特别感谢@anav的帮助。

谢谢

嗨，Steve, BASE VLAN的目的是什么?如果你说它是可信/管理子网，那么你的配置是不正确的。
显然，您已经通过配置设置将BLUE VLAN设置为您的可信/管理VLAN。
我之所以这么说，是因为你会把关注pcunit线程的人弄糊涂，其中蓝色只是另一个数据vlan, BASE是管理vlan。
对我来说，这是第一个问题

问题#2 -您的/IP服务设置.....
您的winbox允许的ip设置，
A.不关别人的事，是你自己的事
b.被设置为一个对我来说意义不大的ip 192.168.0.0/23如果它是你信任的子网，蓝色vlan是192.168.1.0/24 ???????????
c.为什么www没有设置为禁用，它不是访问路由器的安全方法。

好的，复习之后，我知道你们在做什么，您正在声明IP地址(您的VPN连接上的入站流量)可用于连接到路由器!
然而，尽管winbox和SSH是访问路由器的安全手段，WWW不是，也应该被删除。
我只在局域网内使用winbox，当然在使用VPN后也可以远程使用。
这也告诉我，你根本没有为了配置目的而访问本地路由器，否则，例如，192.168.5.0/24也会在winbox和ssh列表上!!(如果base=管理vlan)。

了解配置# 3
你的源地址规则是给每个人从蓝色子网出去的ipsec隧道，，隧道的IP地址为源??

问题# 3
您的dst-nat规则配置不正确.......
增加action=dst-nat chain=dstnat缺少接口内地址或DST地址??
comment= " openVPN端口转发到Zentyal" dst-port=1196协议=udp \
收件人地址= 192.168.1.1向港口= 1196

问题# 4
由于其他两个DST NAT规则，它似乎你有一个固定的静态IP地址??
但是你的ISP是pppoe，这通常是一个动态IP地址。
所以你的配置是混乱的读者!!!!

问题# 5
你的防火墙规则是垃圾。
首先，它们是无序的，应该被视为一个连续的输入链和转发链，反之亦然。
如果你坚持使用bogon，就把它们路由出去，反之，防火墙规则。
其余部分应该包括根据您的需要修改的默认规则，以及允许流量所需的任何其他规则。

(-1-)这个规则在正向链中，它的目的是什么，它似乎和上面提到的不完整的dst-nat规则一样............??也许应该被移除。
add action=accept chain=forward comment="forward openVPN to Zentyal" \
Dst-address =192.168.1.1 dst-port=1196 in-interface=pppoe-out1 protocol=\
udp

(-2-)这两条规则按顺序位于前向链的顶部，所以我将它们移至默认规则的下方，但随后我更仔细地观察了它们
它们没有意义。如果目的地址是192.168.1.0/24，源地址怎么会是192.168.1 ?/ 0/24 ? ?所以我把两个都去掉了!!
add action=accept chain=forward comment=" forward l2tp/ipsec远程客户端" \
dst-address=192.168.1.0/24在界面= all-pppsrc-address =＼
192.168.1.0/24
add action=accept chain=forward comment=" forward l2tp/ipsec远程客户端" \
dst-address = 192.168.1.0/24out-interface = all-pppsrc-address = \
192.168.1.0/24

其他的规则都是youtube上的垃圾。

固定的……
至于bogons....如果它们确实造成了问题，你可以这样做.........

嗨@anav
谢谢你的评论。不幸的是，我的英语知识有点难，所以我必须仔细研究你的评论，以便把每件事都做好。谢谢。在此之前，有一些细节。

显然，您已经通过配置设置将BLUE VLAN设置为您的可信/管理VLAN。

我将BLUE VLAN设置为可信任的，以管理路由器。这与@pcunite所描述的不同，但我必须从本地网络管理路由器，因为以太网或WiFi由于位置的选择而不适合。正如我在文中所写的，BLE_VLAN是本地网络，GREE_VLAN是服务器的DMZ，而BASE_VLAN是来宾WiFi (BASE，因为它是一个没有其他任何东西的基本服务)。你建议我换一个名字做什么?

您的winbox允许的ip设置，

我忘了禁用它，它之前是关闭的，我也不使用它…我允许从192.168.0.0/23子网访问，因为192.168.0.0/24和192.168.1.0/24子网与IPSec VPN连接，我需要从两个子网访问两个网络的路由器…

你的源地址规则是给每个人从蓝色子网出去的ipsec隧道，，隧道的IP地址为源??

对不起，你是在问还是在陈述?你能解释一下吗?我不懂你的意思。我的英语不是最好的……

您的dst-nat规则配置不正确....

的确，IP地址丢失了，但幸运的是它还能用，否则我妻子已经抱怨了…

由于其他两个DST NAT规则，它似乎你有一个固定的静态IP地址??

这是服务提供商如何通过pppoe服务提供静态IP地址，这是它应该如何设置。我认为DHCP范围中的一个IP地址是静态分配给pppoe连接的，因此是永久的。

你的防火墙规则是垃圾。

我需要仔细检查一下你说的防火墙规则。很抱歉，根据你之前的评论，我修改了之前的订单，但不排除我忽略了什么。
bogon列表解决方案在我设置的microtik wiki中有描述。雷竞技网站

add action=accept chain=forward comment="forward openVPN to Zentyal" \

如果我不在这里设置，即使NAT规则到位，远程客户端也无法通过openVPN连接连接到服务器，因为openVPN服务器运行在Zentyal上…你有更好的主意吗?

add action=accept chain=forward comment=" forward l2tp/ipsec远程客户端" \

如果我没有在这里设置，即使有NAT规则，远程L2TP/IPSec客户端也无法连接到本地网络(BLUE_VLAN)。你有更好的主意吗?

其他的规则都是youtube上的垃圾。

我很高兴向别人学习，我知道我不是什么都懂。不幸的是，我不明白你为什么要写引用的文本，因为这些规则在官方的microtik页面和iptables页面上以类似的形式列出作为例子。雷竞技网站
ssh黑名单和端口扫描列表对我来说非常有用，因为我可以从列表中看到路由器不断被黑客攻击。基于列表的禁令明显减少了负载，有时他们甚至放弃了尝试。

如果你能写出为什么你认为哪条规则是不必要的或错误的，我会很高兴。

明天我会将提议的规则与我已经制定的规则进行彻底的比较，然后付诸实施。在此之前，非常感谢您的帮助和建议。

谢谢

睡觉前还有一件事，因为已经过了午夜，而我是在黎明醒来的。

如果我使用L2TP/IPSec通过Internet连接到路由器，我不能访问Internet，只能访问本地网络(BLUE_VLAN)。这在以前不是问题……这可能是什么原因呢?

另一个问题是，从BLUE_VLAN可以从所有IP地址到达路由器，例如192.168.1.254、10.0.20.254和192.168.5.254。为什么会这样?它会引起问题吗?还是可以禁用它?

晚安，各位。

嗨@anav,
我拿出我以前的microrotik笔雷竞技网站记和学习材料来复习我所学到的防火墙规则。我发现我很好地准备了正向规则，但不够优雅，或者说不够有效。

在端口转发的情况下，问题是由在防火墙过滤器的末尾添加“删除所有转发”规则引起的。在这种情况下，NAT下定义的转发规则不起作用。解决方法是在过滤规则中逐个为每个端口添加端口重定向对应的转发过滤器。这样，NAT下定义的端口转发就可以工作了。
另一种解决方案是补充“删除所有转发”规则，以便只删除那些不是dst-nat的文件(“删除所有转发而不是dst-nat”)。这种情况下，不需要设置过滤规则的转发，因为NAT的端口转发设置是有效的。

您通过接受过滤规则的dst-nat-olt转发提出的解决方案比这优雅得多，因为这样您就不必单独配置所有转发，对于过滤规则，这一个条目(“允许端口转发”)和“放弃所有转发”就足够了。到过滤规则的末尾。

谢谢你的建议，所以设置更短，更有效，在这种情况下，“转发l2tp/ipsec远程客户端”防火墙过滤规则和其他，也不做其他端口转发规则。

遗憾的是，我没有找到之前写的两个问题的解决方案，如果你有什么想法，请写下来。这些:

如果我使用L2TP/IPSec通过Internet连接到路由器，我不能访问Internet，只能访问本地网络(BLUE_VLAN)。这在以前不是问题……这可能是什么原因呢?

另一个问题是，从BLUE_VLAN可以从所有IP地址到达路由器，例如192.168.1.254、10.0.20.254和192.168.5.254。为什么会这样?它会引起问题吗?还是可以禁用它?

谢谢

我不明白你用这个电话干什么?
/ ppp概要
add bridge=BR1 dns-server=192.168.1.254 local-address=BLUE_POOL name=\
l2tp-bridge远程地址= BLUE_POOL

这是否告诉我您已将此vlan附加到LT2P隧道?这是直接所有的蓝色vlan流量在路由器上走出L2TP隧道，如果是，到哪里?

(2)是的，将基地改为GuestWifi或其他准确且不会混淆的东西......

(3)因此，如果192.168.1.0是蓝色vlan，但实际上是一个子网，需要l2tp隧道。192.168.0.0/24是什么鬼东西。远程流量是从同一条隧道进来的吗?

(4)如果是这样的话.......
要允许ipsec传入流量访问本地互联网，您需要一个前向链式规则.....
它涵盖了本地接口。
add action=accept chain=forward comment="VLAN仅限互联网访问" \
in-interface-list = VLAN out-interface-list =广域网

所以只需添加另一条规则。
Add action=accept chain=forward comment="允许ipsec上网"
src-address = 192.168.0.0 / 24 out-interface-list =广域网


我不明白你在说什么.......
另一个问题是，从BLUE_VLAN可以从所有IP地址到达路由器，例如192.168.1.254、10.0.20.254和192.168.5.254。为什么会这样?它会引起问题吗?还是可以禁用它?

因为所有的东西都在vlan中，L2处是分离的。
在防火墙规则L3中，您在最后有一个删除规则，因此不应该有vlan到vlan的访问。
你总是可以ping通路由器上的接口，但实际访问设备不会发生。

将第一条规则排除在配置的NAT部分之外，这样就可以理解您想要完成的任务。
如192.168.1.1为隧道L2TP外的蓝色子网，192.168.0.0为隧道内的远端流量。
那么这个规则就没有意义了......
Add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
192.168.1.0/24

现在我们知道您有一个固定的WANIP地址..........
IP防火墙NAT
添加操作= src-nat链= srcnat收件人地址= fixedWANIP out-interface = pppoe1-out＼
ipsec-policy =,没有

增加action=dst-nat chain=dstnatdst-address = fixedWANIP＼
comment=" openVPN端口转发到Zentyal" dst-port=1196协议=udp \
收件人地址= 192.168.1.1向港口= 1196

不确定你的156.53指的是什么?这是您的固定WANIP还是其他东西????
add action=dst-nat chain= dst-address=XXX.XXX.156.53 dst-port=443 \
协议=tcp到地址=192.168.1.1到端口=443
add action=dst-nat chain= dst-address=XXX.XXX.156.53 dst-port=80 \
Protocol =tcp to addresses=192.168.1.1 to ports=80

让我们澄清。我之前写过有两个子网。一个在办公室，另一个在家里。两者都通过microtik Hapac2路由器连接到互联网。雷竞技网站这两个地点差不多。它们相距15-20公里。两台路由器之间通过Internet建立IPSec VPN，连接办公室192.168.0.0/24子网和家庭192.168.1.0/24子网。这意味着家庭BLEU_VLAN必须与办公网络相连。这样，两个子网的所有资源都可以在两个网络中使用。

无论如何，路由器中有一个L2TP/IPSec VPN，用于远程访问家庭和办公室子网上的设备，用于管理目的。通过这种方式，如果路由器、服务器、IPPBX等出现问题，我可以远程干预。IPSec Site2site通过ppp连接到VPN，通过它也可以通过IPSec VPN到达局子网内的设备，因此连接到BLUE_VLAN。这就是为什么/ppp配置文件指向BLU_VLAN DHCP池，因此它从中获得一个IP地址。这工作，我一直在使用这个解决方案多年没有VLAN。也许应该换一种做法?我愿意接受任何解决方案……

最后，还有第三种VPN用于在服务器上远程工作。为此，服务器运行openVPN服务器，路由器的防火墙只需要将openVPN端口重定向到GREEN_VLAN中的服务器。这样做的好处是远程连接只能访问服务器的授权资源，而不能访问其他资源。

所以。(1) L2TP/IPSec远端用户需要连接到BLUE_VLAN，这就是设置的目的。

好的，我换一件。

(3)请阅读以上有关vpn的说明。

(4)您的意思是让BLUE_VLAN通过L2TP/IPSec到WAN吗?这是/ppp配置文件BLUE_VLAN流量的对应项吗?

(5)即使防火墙过滤器下的最后一行是“drop all forward”，我仍然可以从BLUE_VLAN(192.168.1.0/24)连接到路由器的所有IP地址(192.168.1.254,192.168.5.254或10.0.20.254)。我不仅可以ping，还可以通过Winbox或浏览器连接到路由器。

将第一条规则排除在配置的NAT部分之外，这样就可以理解您想要完成的任务。

这不是L2TP/IPSec VPN的一部分，而是Site2site IPSec VPN的一部分，所以我不能跳过它，因为办公室和家之间的VPN不起作用。

现在我们知道您有一个固定的WANIP地址..........
IP防火墙NAT
add action=src-nat chain=srcnat to-addresses=fixedWANIPout-interface=pppoe1-out \
ipsec-policy =,没有

我将此作为/ip firewall nat下的action=masquerade条目。我应该换吗?但那时候就无法上网了……

add action=dst-nat chain=dstnat dst-address=fixedWANIP
comment=" openVPN端口转发到Zentyal" dst-port=1196协议=udp \
收件人地址= 192.168.1.1向港口= 1196

你已经跟我提过了，我已经修改了。

不确定你的156.53指的是什么?这是您的固定WANIP还是其他东西????

这些都是公共静态IP地址。我用x标记了前两个八字，留下最后两个帮助解释。

好了，说到要求和事实。

需要证实的事实:
A.办公路由器hapac2 -可公开访问的WANIP?是静态还是动态，连接方式(cable, pppoe等)??
B.家用路由器hapac2 -通过pppoe连接可访问静态WANIP。
C.办公室路由器有一个局域网子网192.168.0.0/24
D.家庭路由器有三个子网192.168.1.0/24(蓝色和可信- vlan10)， 10.0.20.0/24(绿色/dmz-vlan20)和192.168.5.0/24 (GuestWifi-vlan99)

+++++++++++++++++++++++++++++++++++

要求:

1.家中蓝色子网的用户必须能够访问Office子网的设备。
2.办公室子网的用户必须能够访问蓝色子网的设备
3.从办公室路由器进行管理访问，需要对家庭路由器进行配置，以及对家庭路由器子网进行故障排除。
4.为了进行配置，需要从家庭路由器访问办公路由器，为了进行故障排除，需要从家庭路由器访问办公路由器子网。
5.在家庭路由器中，管理员必须能够配置路由器并访问子网
6.在办公室路由器内，管理员必须能够配置路由器并访问子网
7.从远程位置到家庭路由器的管理访问，用于配置目的和排除子网故障
8.从远程位置到办公室路由器的管理访问，用于配置目的和排除子网故障

注意:需求1、2描述了一个远程VPN功能，供用户工作，并能够从本地路由器到远程路由器
注意:需求3,4描述了管理员工作的远程VPN功能，并能够从本地路由器到远程路由器
注意:需求5,6描述了需要在本地路由器的管理员做管理工作。
注:需求7,8描述了管理员能够从远程位置(咖啡店或酒店的笔记本电脑，智能手机等)访问路由器的需求........)

如果这确实抓住了需求，我会使用一个VPN来完成所有并简化生活。

你好,
不幸的是，当从办公室远程连接或通过Site2site IPSec VPN连接时，路由器仍然无法通过L2TP/IPSec VPN访问。
你能帮我一下吗，有什么问题吗?

是的，把3个不同的vpn换成一个vpn (wireguard)。
看看在转发链的最后(非常临时)禁用删除所有规则是否允许连接，如果不是，那么尝试非常临时地使用输入链，如果不是同时尝试这两个规则，也是非常临时的。
这应该可以消除防火墙规则的问题。

嗨@anav,
我没想过……禁用drop input规则后，我可以使用Winbox访问路由器。

虽然当我连接到L2TP/IPSec VPN时没有互联网接入。

不幸的是，我需要这三个vpn，因为它们都有不同的用途。

我该如何解决这个问题?

对于第一项，找出您需要允许winbox的特定输入链规则(来自局域网资源，来自vpn资源等)，然后将drop规则放回。
你不希望winbox大开..........

至于另一个，请尝试逐个重新插入您禁用的任何相关规则，等等........
还有一些方法可以跟踪路由器上的流量，看看请求在一个方向上传播了多远，以及是否有响应，但我对这些技能并不精通。

我得到的点，如果我添加/ip防火墙过滤器动作=删除链=输入规则与在接口列表=WAN设置，路由器可以通过L2TP/IPSec VPN访问Winbox。

/ip firewall filter action=drop chain=input i-interface-list=WAN

问得好，但原因是什么呢?

如果我读对了，这意味着广域网连接到你的winbox被正确阻止，但其他内部连接，如ipsec vpn传入流量，从路由器上出来，允许winbox，类似于如何一个局域网用户可以访问winbox，如果防火墙规则允许。

我认为这只是部分正确的。这就是如何使用Winbox通过L2TP/IPSec远程连接访问路由器。
但是如果我用L2TP/IPSec VPN远程连接到路由器，我仍然无法访问互联网，只能访问本地(BLUE_VLAN)网络…
Winbox的访问限制在192.168.0.0/23的IP地址范围内(192.168.0.1-192.168.1.254)，以便办公室和家庭网络都可以访问Winbox。

但是，从办公室通过IPSec Site2site VPN，使用Winbox仍然无法访问路由器，但我可以ping通路由器。

最后我基本上成功了，一切似乎都在起作用。当然，我们还需要测试一段时间……

受此鼓舞，今天我准备好了办公室路由器的配置，并上传到路由器上。除了办公室和我家之间的IPSec Site2Site VPN之外，一切似乎都可以正常工作。这两个地方都有microtik H雷竞技网站apac2路由器，它们试图连接以前工作的IPSec设置，但在日志中有一个错误消息“阶段1协商失败，由于时间上升”。

我发现可能有tcp mss问题，但我检查了设定值，没有问题。这对我来说非常重要，因为我无法管理办公室网络和设备。

有谁能帮上忙吗?

谢谢你的帮助。

当你准备放弃3个不同的vpn并只使用一个时，请告诉我?需要满足这些要求。

我找到了一个帖子，可以同时重启两边的路由器。早些时候我试图从办公室重新启动它，但由于访问受限，我一次只能重启一个。当然，我不认识他们中的任何一个，因为他们都在用openVPN工作……

今晚我重启了两者，IPSec Site2Site VPN, L2TP/IPSec远程管理VPN和openVPN到服务器都在工作。三个都跑…

但是还有另一个问题，我可以通过IPSec Site2site VPN访问办公室和家庭网络以及在它们上运行的设备，但只有远程路由器无法使用Winbox访问，但我可以ping通它。所以我甚至没有从远程路由器获得SNMP数据…

我需要找到禁止访问远程端口的规则。

什么好主意吗?

我找到了一个帖子，可以同时重启两边的路由器。早些时候我试图从办公室重新启动它，但由于访问受限，我一次只能重启一个。当然，我不认识他们中的任何一个，因为他们都在用openVPN工作……

今晚我重启了两者，IPSec Site2Site VPN, L2TP/IPSec远程管理VPN和openVPN到服务器都在工作。三个都跑…

但是还有另一个问题，我可以通过IPSec Site2site VPN访问办公室和家庭网络以及在它们上运行的设备，但只有远程路由器无法使用Winbox访问，但我可以ping通它。所以我甚至没有从远程路由器获得SNMP数据…

我需要找到禁止访问远程端口的规则。

什么好主意吗?

通常，需要远程路由器上的规则来允许来自外部的流量，或者您在本地路由器上没有到它的路由，或者您在远程路由器上没有路由来告诉它将查询返回的流量发送到哪里。

完全正确。我走到这一步是因为问题并没有通过禁用掉落规则来解决。我想弄清楚需要什么样的规则，尽管我还不知道……
我希望如果我解决了这个问题，它也会解决SNMP问题…

我正在尝试所有可能的解决方案，我正在通过旧的配置，看看它是否有帮助。

但这是个好主意……

所以更有可能是某个地方的路由问题，或者你已经放弃流量的防火墙规则。

似乎是vlan导致了这个问题，但是我不知道如何解决。

有两个Mikrotik路由器雷竞技网站，它们都通过静态公共IP地址连接到Internet。两者之间是一个IPSec的saiite2site VPN。将一台路由器的IP地址范围为192.168.0.0/24的VLAN与另一台路由器的IP地址范围为192.168.1.0/24的VLAN相连。一台路由器的IP地址是192.168.0.254，另一台路由器的IP地址是192.168.1.254。
两个VLAN之间的流量正常，任何一个VLAN内的所有设备都可以访问，但另一个VLAN内的路由器不能通过IPSec VPN访问。您可以从另一个VLAN ping路由器，但不能使用Winbox从另一个VLAN连接路由器。该VLAN内的路由器可以从同一VLAN到达。

似乎是VLAN设置的问题。这可能是什么原因呢?

没人知道吗?

谢谢

快速查看上面#7中发布的配置，显示没有允许远程站点通过IP访问winbox的规则。或者我没找到。

谢谢你的帮助@mkx。

这需要什么规则?你能给我举个例子吗?

谢谢

一旦远程用户通过vpn访问本地路由器，您就需要一个输入规则来允许对winbox的访问。
与您对驻留在本地路由器上的管理员所做的相同。
add chain=input action=accept in-interface=WGNAME src-address=remoteuserIP{如果是wireguard，则远程用户正在进入}

这就是解决方案。我认为它应该在本地子网和远程子网之间转发。我不认为输入引起了问题，因为看起来两个子网之间的流量是可以接受的。

我错了，谢谢你指出我的错误想法。这就是为什么有时候你需要一双新鲜的眼睛来看待问题……

我会重新测试一切，谢谢你的帮助。

谢谢