你好,
在许多论坛成员的帮助下，我设法让我的Mikrotik HapAC2路由器上的vlan工作。雷竞技网站

我们在这篇文章中描述了解决方案:viewtopic.php吗?t = 188058
解决方案基于这篇文章:viewtopic.php吗?t = 143620

然而，我发现了一个我无法解决的问题。

根据设置，原则上只能在BASE VLAN下使用IP地址为192.168.5.1的WinBox访问路由器。然而，从任何VLAN (BLUE, GREEN)，我可以到达路由器的IP地址192.168.1.254的BLUE_VLAN。似乎在vlan之间没有分离。

有什么问题吗?我应该复制什么配置?

有人能帮帮我吗?

第n次……

如果有人观察包流在ROS中，可以注意到最早执行的操作之一是连接跟踪分类。然后提供有关数据包在进一步阶段进入哪条防火墙链的信息。当报文的目的IP地址匹配时任何路由器自己的地址，它正在进入输入链入接口不会改变分类结果。
现在…防火墙过滤规则(或防火墙原始规则)可以丢弃针对路由器本身的数据包，但通过“外来”接口进入，但防火墙管理员必须构造它们。

就我个人而言，我不认为这种过滤在任何方面都能提高路由器的安全性，它纯粹是化妆品。如果它打扰了别人，那就很容易阻止它。我只是不会为无用的配置提供烹饪手册代码。

重复的纳米

我不给你的废话参考，什么是需要你的充分配置在这里.....!!!!
(当然没有任何公开的WANIP信息)。

评论:

防火墙规则在很多方面都很糟糕。
-先是杂乱无章，难以遵循，将所有输入的链式规则放在一起，然后转发链式规则。对大家都好!!＼
-摆脱垃圾规则............
-坚持默认类型规则和清除/清除规则

固定在……订单在连锁中也很重要。
注:
(1)这个规则我搞不清楚，特别是在路由器上没有子网，我可以看到(192.168.0.0/24).........请从用户的角度告诉我们这条规则的实际意图是什么。
添加动作=接受链=输入评论=\
"Accept all from LAN works with drop input" in-interface=BR1
add action=accept chain=input comment=" accept ssh to subnet" dst-address=\
192.168.0.0/24 dst-port=22 protocol=tcp src-address=192.168.0.0/24

如果这确实是一个ipsec地址或子网，你已经给你的vpn，那么这应该在FORWARD链，因为它似乎是你想让人们进入ipsec能够访问蓝色VLAN ??

(2)这些规则我搞不懂，因为你似乎是在让一个事物访问它自己，实际上这两个规则都是如此。?????????????
add action=accept chain=forward comment="转发l2tp/ipsec远程客户端" \
Dst-address =192.168.1.0/24 in-interface=all-ppp src-address=\
192.168.1.0/24
add action=accept chain=forward comment="转发l2tp/ipsec远程客户端" \
dst-address = 192.168.1.0/24out-interface = all-pppsrc-address = \
192.168.1.0/24

(3)这个规则太宽泛了，它没有详细的目的地.......
add action=accept chain=forward in-interface=BR1 src-address=192.168.1.0/24失踪dst-address吗?dst-address-list吗?out-interface吗?out-interface-list吗?

这看起来像一个目的NAT规则，而不是一个端口转发规则!!
添加动作=接受链=转发dst-address = 10.0.20.2dst-port = 1195 \
in-interface-list =广域网= udp协议

(5)这条规则对我来说毫无意义............您再次允许BLUE VLAN被WAN访问，听起来像目的NAT。
add action=accept chain=forward comment="转发openVPN到Zentyal" \
dst-address = 192.168.1.1dst-port = 1196我n-interface = pppoe-out1= udp协议

还有一条规则你使用wan接口列表，这里你使用的实际接口为什么不一致??

(6)我在输入链上也省略了这个规则，因为我看不出它的目的，它似乎非常不标准................??
add action=accept chain=input comment="Site2Site VPN" dst-address=\
XXX.XXX.177.63 in-interface-list=WAN src-address=XXX.XXX.43.161

建议您删除此设置，因为您的IP DHCP客户端是由PPPOE设置处理的!!
/ ip dhcp客户端
添加界面= ether1

(8)我不是很熟悉如何源nat你的局域网流量走出ipsec隧道，但这似乎对我来说是不正确的。我很感激它反映了你的ipsec策略!!
/ip防火墙NAT
添加action=accept chain=srcnatdst-address = 192.168.0.0 / 24src-address = \
192.168.1.0/24

也许使用out-interface=vpn或out-interface=isipos ??我在这事上完全没有头绪。

(9) DST NAT规则不一致。
我看到你的两条规则缺少标准的动态IP in-interface-list=WAN，而其他两条使用静态IP方法，这对pppoe来说是不正确的，除非它是静态IP?(dst-address = 94.21…)

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

总结:这应该是一个起点，如果你仍然有问题，然后让我们解决你的轧辊规则下一步。你为什么需要他们?

亲爱的@anav，再次感谢你的帮助。
我想问一下，我是否应该简单地离开其他/ip防火墙过滤规则?我有45 /ip防火墙过滤规则…

这不是一个错误吗?什么是正确的?
"add action=drop chain=input comment="放弃其他一切”[/ b]
{forward链}”

(1)这个规则我搞不清楚，特别是在路由器上没有子网，我可以看到(192.168.0.0/24).........请从用户的角度告诉我们这条规则的实际意图是什么。
添加动作=接受链=输入评论=\
"Accept all from LAN works with drop input" in-interface=BR1
add action=accept chain=input comment=" accept ssh to subnet" dst-address=\
192.168.0.0/24 dst-port=22 protocol=tcp src-address=192.168.0.0/24

我的办公室和家里之间有一个点到点IPSec VPN。这两个位置都有Mikrotik HapA雷竞技网站C2路由器。办公网络的IP地址范围为192.168.0.0/24 ~家庭192.168.1.0/24 (BLU_VLAN)。该规则确保两个网络中的所有设备都可以看到对方，并且可以相互连接。

(2)这些规则我搞不懂，因为你似乎是在让一个事物访问它自己，实际上这两个规则都是如此。?????????????
add action=accept chain=forward comment="转发l2tp/ipsec远程客户端" \
Dst-address =192.168.1.0/24 in-interface=all-ppp src-address=\
192.168.1.0/24
add action=accept chain=forward comment="转发l2tp/ipsec远程客户端" \
Dst-address =192.168.1.0/24 out-interface=all-ppp src-address=\
192.168.1.0/24

除了Site-to-Site VPN，客户端还可以使用L2TP/IPSec VPN进行远程工作。这些规则将引导来自L2TP/IPSec远程客户端的流量进出BLUE_VLAN。

(3)这个规则太宽泛了，它没有详细的目的地.......
add action=accept in-interface=BR1 src-address=192.168.1.0/24缺失dst-address?dst-address-list吗?out-interface吗?out-interface-list吗?

该规则最初将流量路由到192.168.1.0/24网络，现在将其路由到BLUE_VLAN。还有另一个子网，但不是VLAN，但我不再使用它了。现在，另一个子网将是GREEN_VLAN，我将连接服务器到它。

这看起来像一个目的NAT规则，而不是一个端口转发规则!!
Add action=accept chain=转发dst-address=10.0.20.2 dst-port=1195 \
in-interface-list = = udp广域网协议

这将是openVPN端口转发到放在GREEN_VLAN中的服务器进行直接连接。

(5)这条规则对我来说毫无意义............您再次允许BLUE VLAN被WAN访问，听起来像目的NAT。
add action=accept chain=forward comment="转发openVPN到Zentyal" \
Dst-address =192.168.1.1 dst-port=1196 in-interface=pppoe-out1 protocol=udp

类似于(4)，这是openVPN端口转发到Zentyal服务器，它位于BLUE_VLAN…

“还有一条规则你用广域网接口列表，这里你用的实际接口为什么不一致??”
你有什么建议?我应该使用什么WAN或ether1或pppoe命名?引用WAN不是更容易吗?

(6)我在输入链上也省略了这个规则，因为我看不出它的目的，它似乎非常不标准................??
add action=accept chain=input comment="Site2Site VPN" dst-address=\
XXX.XXX.177.63 in-interface-list=WAN src-address=XXX.XXX.43.161

该规则用于保证公网静态IP之间的Site-to-Site VPN连通性。

(8)我不是很熟悉如何源nat你的局域网流量走出ipsec隧道，但这似乎对我来说是不正确的。我很感激它反映了你的ipsec策略!!
/ip防火墙NAT
Add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
192.168.1.0/24

如果没有这个规则，两个网络就不能被穿越，它们之间就没有流量，它们不能看到彼此。你有更好的解决办法吗?

也许使用out-interface=vpn或out-interface=isipos ??在这件事上，我完全没有头绪。”

对不起，我不明白你的意思。vpn和isipos不是接口，而是在/ppp secret下用于L2TP/IPSec连接的登录名…

(9) DST NAT规则不一致。
我看到你的两条规则缺少标准的动态IP in-interface-list=WAN，而其他两条使用静态IP方法，这对pppoe来说是不正确的，除非它是静态IP?(dst-address = 94.21…)

公网IP地址在两个位置都是静态IP地址……


我希望你能理解我想要达到的目标，我的设计目标是什么。如果这个设置很好，我想进一步开发它。
我们的目标是拥有一个带有1-2个以太网和2GHz和5GHz WiFi的BLUE_VLAN，这些设备可以通过L2TP/IPSec VPN远程连接，办公室和我的家庭网络通过IPSec VPN连接。
将有一个独立的子网(如DMZ) GREEN_VLAN，该子网带有一个以太网端口，公共服务器将连接到该端口，并且从外部可以通过服务器上运行的openVPN连接到服务器进行远程工作。
将有一个2GHz WiFi以太网端口(PURPLE_VLAN)作为单独的子网供来宾使用。
最后，会有一个单独的以太网端口来管理没有WiFi或有WiFi的路由器，这仍然应该被认为是一个独立的BASE_VLAN子网。
如果家用路由器一切正常，我就必须“重新编程”办公室路由器。

非常感谢你的帮助。
感谢和问候

今天我按照我的预期配置好了路由器。感谢@anav的帮助。

创建了3个vlan。
第一个用于本地网络，名为BLUE，有三个以太网端口和2 GHz和5 GHz WiFi。
第二个服务器将GREEN命名为带有以太网端口的DMZ。
第三个是仅供客人使用的2 GHz WiFi网络。

配置还包括两个位置之间的site-to-site IPSec VPN和用于远程工作的L2TP/IPSec VPN。除此之外，它还包含服务器上运行的openVPN连接和VoIP服务器操作的附加配置。

必须修改防火墙规则以使一切正常工作。我将在明天附上配置，请写下您的意见，使它成为最好的。
如果有人想在配置的基础上制作自己的，他们可以使用配置。

我的下一步将是以类似的方式重新配置办公室路由器。我现在要睡觉了……

谢谢你到目前为止的帮助。

我附上了Mikrotik vlan的配置示例。雷竞技网站这个配置适用于Mikrotik Ha雷竞技网站pac2路由器，我不能保证它能正确地工作在其他Mikrotik路由器上。我创建这个是为了我自己的目的，但每个人都可以根据自己的需要修改它。
该配置包括示例:
三个vlan
BLUE为本地网络以太网和2 és 5GHz WiFi
绿色表示服务器的DMZ以太网
仅为Guest WiFi提供BASE
L2TP/IPSec VPN远程客户端管理员
通过openVPN到服务器为远程工作者
IPSec远端站点site -to- site VPN
Pppoe网络连接
本地网络VoIP规则
防火墙规则为bogon列表，端口扫描和SSH黑名单

不要使用这个配置直接导入你的路由器!
在上传路由器之前，你需要修改配置中的一些特定参数!如。用户名、密码、IP地址、MAC地址等。

@pcunite的主题在创建配置时提供了很多帮助:viewtopic.php吗?t = 143620&sid=ebd84249c28f ... 3d83c1fdd3
论坛成员在这个话题上也帮了不少忙:viewtopic.php吗?t = 188058

特别感谢@anav的帮助。

感谢和问候

嗨，史蒂夫，BASE VLAN的目的是什么?如果您说它是受信任/管理子网，那么您的配置是不正确的。
显然，您已经通过配置设置将BLUE VLAN设置为受信任/管理VLAN。
我之所以这么说，是因为你会让那些关注pcunite线程的人感到困惑，其中蓝色只是另一个数据vlan, BASE是管理vlan。
对我来说，这是第一个问题

问题#2 -您的/IP服务设置.....
你的winbox设置允许的ip，
这是你自己的事，不关别人的事
b.被设置为一个对我来说没什么意义的ip 192.168.0.0/23如果它是你的可信子网，蓝色vlan是192.168.1.0/24 ???????????
c.为什么www没有设置为禁用，这不是一个安全的访问路由器的方法。

好吧，经过审查，我知道你在做什么了，您正在声明IP地址(VPN连接上的入站流量对于连接到路由器是有效的!
然而，虽然winbox和SSH是访问路由器的安全方式，WWW不是，也应该被删除。
我只在局域网内使用winbox，当然在进入VPN后也可以远程使用。
这也告诉我，你不访问路由器本地配置的目的在所有，否则，192.168.5.0/24也会在winbox和ssh列表!!(if base=management vlan)。

了解配置# 3
你的源规则是给每个从蓝色子网走出ipsec隧道的人一个源隧道的IP地址??

问题# 3
您的dst-nat规则没有正确配置.......
添加action=dst-nat chain=dstnat缺少接口内地址或DST地址??
comment= "端口转发到Zentyal的openVPN端口" dst-port=1196 protocol=udp \
收件人地址= 192.168.1.1向港口= 1196

问题# 4
由于其他两个DST NAT规则，它会出现你有一个固定的静态IP地址??
但你的ISP是pppoe，通常是动态IP地址。
所以你的配置是困惑的读者!!!!

问题# 5
你的防火墙规则是垃圾。
首先，它们是无序的，应该被视为一个连续的输入链和前向链，反之亦然。
如果你坚持使用Bogons，那就把它们路由出去，违反防火墙规则。
其余的应该包括根据您的需要修改的默认规则，以及允许流量所需的任何其他规则。

(-1-)这个规则在转发链中，它的目的是什么，它似乎和上面提到的不完整dst-nat规则一样............??也许应该被移除。
add action=accept chain=forward comment="转发openVPN到Zentyal" \
Dst-address =192.168.1.1 dst-port=1196 in-interface=pppoe-out1 protocol=\
udp

这两条规则在向前链的顶部，所以我把它们移到默认规则的下面，但后来我更仔细地观察了它们
他们说不通。如果目的地址是192.168.1.0/24，源地址怎么可能是192.168.1 ?/ 0/24 ? ?所以我把两个都去掉了!!
add action=accept chain=forward comment="转发l2tp/ipsec远程客户端" \
dst-address＝192.168.1.0/24在界面= all-pppsrc-address =＼
192.168.1.0/24
add action=accept chain=forward comment="转发l2tp/ipsec远程客户端" \
dst-address = 192.168.1.0/24out-interface = all-pppsrc-address = \
192.168.1.0/24

(-3-)所有其他规则都是youtube垃圾。

固定的……
至于bogons....你可以这样做，如果他们实际上造成了一个问题.........

嗨@anav
谢谢你的意见。不幸的是，我的英语知识有点难，所以我必须仔细研究你的评论，以做好每一件事。谢谢。在那之前，有些细节。

显然，您已经通过配置设置将BLUE VLAN设置为受信任/管理VLAN。

我将BLUE VLAN设置为可信任的管理路由器的VLAN。这与@pcunite所描述的不同，但我必须从本地网络管理路由器，因为位置的选择不适合以太网或WiFi。正如我在文本中所写的，BLE_VLAN是本地网络，GREE_VLAN是服务器的DMZ, BASE_VLAN是来宾WiFi (BASE是因为它是一个基本服务，没有其他任何东西)。你建议我用别的名字干什么?

你的winbox设置允许的ip，

我忘了禁用它，之前它是关闭的，我也不用它…我允许从192.168.0.0/23子网访问，因为192.168.0.0/24和192.168.1.0/24子网连接了一个IPSec VPN，我需要从两个子网访问两个网络的路由器…

你的源规则是给每个从蓝色子网走出ipsec隧道的人一个源隧道的IP地址??

不好意思，你是在问还是在说?你能解释一下吗，因为我不懂你的意思。我的英语不是最好的…

您的dst-nat规则没有正确配置....

的确，IP地址丢失了，但幸运的是它还能用，否则我妻子已经抱怨了……

由于其他两个DST NAT规则，它会出现你有一个固定的静态IP地址??

这是服务提供者通过pppoe服务提供静态IP地址的方式，这是它应该设置的方式。我认为DHCP范围中的一个IP地址是静态分配给pppoe连接的，因此是永久的。

你的防火墙规则是垃圾。

我需要仔细检查你描述的防火墙规则。很抱歉，根据你之前的评论，我修改了之前的订单，但不排除我忽略了什么。
bogon列表解决方案在我设置时在mikrotik wiki中进行了描述。雷竞技网站

add action=accept chain=forward comment="转发openVPN到Zentyal" \

如果我没有在这里设置这个，即使NAT规则到位，远程客户端也不能通过openVPN连接到服务器，因为openVPN服务器运行在Zentyal上…你有更好的主意吗?

add action=accept chain=forward comment="转发l2tp/ipsec远程客户端" \

如果此处不设置，即使配置了NAT规则，远端L2TP/IPSec客户端也无法连接到本地网络(BLUE_VLAN)。你有更好的主意吗?

(-3-)所有其他规则都是youtube垃圾。

我很高兴向别人学习，我知道我不是什么都懂。不幸的是，我不明白你为什么要写引用的文本，因为这些规则在官方mikrotik页面上以类似的形式列出，在iptables页面上作为示例。雷竞技网站
ssh黑名单和端口扫描列表对我来说非常有用，因为我可以从列表中看到路由器不断被黑客攻击。基于列表的禁令明显减少了负载，有时他们甚至放弃了尝试。

如果你能写出你认为哪条规则是不必要或错误的原因，我将很高兴。

明天我将彻底比较拟议的规则和我已经建立的规则，然后我将应用。在此之前，非常感谢您的帮助和建议。

感谢和问候

睡觉前还有一件事，因为已经过了午夜，我在黎明醒来。

如果我通过L2TP/IPSec连接到路由器，我不能访问Internet，只能访问本地网络(BLUE_VLAN)。这在以前不是问题……这是什么原因呢?

另一个问题是，从BLUE_VLAN可以从所有IP地址到达路由器，例如从地址192.168.1.254,10.0.20.254和192.168.5.254。为什么会这样?它会引起问题吗?它会被禁用吗?

晚安，各位。

嗨@anav,
我拿出我以前的Mikrotik笔记和雷竞技网站学习资料，复习我所学到的防火墙规则。我发现我的前向规则准备得很好，但不够优雅，或者说，不够高效。

在端口转发的情况下，该问题是由于在防火墙过滤器的末尾添加了“删除所有转发”规则引起的。在这种情况下，NAT下定义的转发规则不起作用。解决方法是在过滤规则中逐个添加与prot重定向对应的正向过滤器到每个端口。此时NAT下定义的端口转发将正常工作。
另一个解决方案是补充“drop all forward”规则，这样只有那些不是dst-nat的才会被丢弃(“drop all forward not dst-nat”)。此时不需要配置过滤规则的转发，使用NAT时设置的端口转发即可。

您提出的为过滤规则接受dst-nat-olt转发的解决方案比这个要优雅得多，因为您不必单独配置所有转发，对于过滤规则，这一个条目(“允许端口转发”)和“删除所有转发”就足够了。到过滤规则的末尾。

谢谢你的建议，这样设置更短，更有效，在这种情况下，“转发l2tp/ipsec远程客户端”防火墙过滤规则和其他和其他端口转发规则都不做。

遗憾的是，我之前写的两个问题都没有找到解决方案，如果你有想法，请写下来。这些:

如果我通过L2TP/IPSec连接到路由器，我不能访问Internet，只能访问本地网络(BLUE_VLAN)。这在以前不是问题……这是什么原因呢?

另一个问题是，从BLUE_VLAN可以从所有IP地址到达路由器，例如从地址192.168.1.254,10.0.20.254和192.168.5.254。为什么会这样?它会引起问题吗?它会被禁用吗?

感谢和问候

我不明白你在做什么?
/ ppp概要
add bridge=BR1 dns-server=192.168.1.254 local-address=BLUE_POOL name=\
l2tp-bridge远程地址= BLUE_POOL

这是否告诉我您已经将此vlan附加到LT2P隧道?这是否会将路由器上的所有蓝色vlan流量都引导出L2TP隧道，如果是的话，会引导到哪里?

(2)是的，将base更改为GuestWifi或其他准确的，不会混淆其他人......

(3)如果192.168.1.0是蓝色vlan，但实际上是一个需要进行l2tp隧道的子网。192.168.0.0/24是什么鬼。远程通信是从同一条隧道进来的吗?

(4)假设是这样，那么.......
为了允许ipsec传入流量访问本地internet，您需要一个转发链式规则.....
它涵盖了本地接口。
add action=accept chain=forward comment="VLAN Internet Access only" \
in-interface-list = VLAN out-interface-list =广域网

所以只需添加另一条规则。
Add action=accept chain=forward comment="允许ipsec到internet"
src-address = 192.168.0.0 / 24 out-interface-list =广域网


(5)我不明白你在这里说什么.......
另一个问题是，从BLUE_VLAN可以从所有IP地址到达路由器，例如从地址192.168.1.254,10.0.20.254和192.168.5.254。为什么会这样?它会引起问题吗?它会被禁用吗?

因为你在vlan里有所有东西，在L2有分离。
在防火墙规则L3中，您在最后有一个drop规则，因此不应该有vlan到vlan的访问。
你总是可以ping路由器上的接口，但实际访问设备不会发生。

将第一条规则排除在配置的NAT部分之外，这样就可以理解您试图完成的任务。
如果192.168.1.1是走出隧道的蓝色子网，192.168.0.0是进入隧道的远程流量。
那么这个规则就没有意义了......
Add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
192.168.1.0/24

现在我们知道您有一个固定的WANIP地址..........
IP防火墙NAT
添加操作= src-nat链= srcnat收件人地址= fixedWANIP out-interface = pppoe1-out＼
ipsec-policy =,没有

添加action=dst-nat chain=dstnatdst-address = fixedWANIP＼
comment="端口转发到Zentyal的openVPN端口" dst-port=1196 protocol=udp \
收件人地址= 192.168.1.1向港口= 1196

不知道你的156.53暗指什么?这是你的固定WANIP或其他东西????
add action=dst-nat chain=dstnat dst-address=XXX.XXX.156.53 dst-port=443 \
协议=tcp to-addresses=192.168.1.1 to-ports=443
add action=dst-nat chain= dst-address=XXX.XXX.156.53 dst-port=80 \
协议=tcp to-addresses=192.168.1.1 to-ports=80

让我们澄清。我在前面写过有两个子网。一个在办公室，另一个在家里。两者都通过Mikrotik Hapac2路由器连接到互联网。雷竞技网站这两个地点大约。他们相距15-20公里。两台路由器之间通过Internet建立IPSec VPN，连接办公室的192.168.0.0/24子网和家庭的192.168.1.0/24子网。这意味着主BLEU_VLAN必须连接到办公网络。这样，两个子网的所有资源都可以从两个网络中使用。

无论如何，路由器中有一个L2TP/IPSec VPN，用于远程访问家庭和办公子网中的设备以实现管理目的。通过这个，如果路由器、服务器、IPPBX等出现问题，我可以远程干预。它通过ppp连接到VPN，并连接到BLUE_VLAN，因为通过它IPSec Site2site也可以通过IPSec VPN到达局网子网上的设备。这就是为什么/ppp配置文件指向BLU_VLAN DHCP池，因此它可以从中获得IP地址。这是有效的，我已经使用这个解决方案多年没有VLAN。也许应该换一种方式?我愿意接受任何解决方案。

最后，还有第三个用于在服务器上远程工作的VPN。为此，服务器运行一个openVPN服务器，路由器的防火墙只需要将openVPN端口重定向到GREEN_VLAN中的服务器。这样做的好处是远程连接只能访问服务器的授权资源，而不能访问其他资源。

所以。(1) L2TP/IPSec远端用户需要连接到BLUE_VLAN，这是设置的目的。

好的，我给你换。

(3)请阅读以上关于vpn的说明。

(4)您的意思是让BLUE_VLAN通过L2TP/IPSec到WAN吗?这是/ppp配置文件BLUE_VLAN流量的对应项吗?

(5)即使防火墙过滤器下的最后一行是“drop all forward”，我仍然可以从BLUE_VLAN(192.168.1.0/24)连接到路由器的所有IP地址(192.168.1.254,192.168.5.254或10.0.20.254)。我不仅可以ping，还可以用Winbox或浏览器连接到路由器。

将第一条规则排除在配置的NAT部分之外，这样就可以理解您试图完成的任务。

这不是L2TP/IPSec VPN的一部分，而是Site2site IPSec VPN的一部分，所以我不能跳过它，因为这样办公室和家庭之间的VPN就不能工作了。

现在我们知道您有一个固定的WANIP地址..........
IP防火墙NAT
add action=src-nat chain=srcnat to-addresses=fixedWANIPout-interface=pppoe1-out \
ipsec-policy =,没有

我有这作为一个动作=假面入口下/ip防火墙nat..我要换吗?但那时就不能上网了……

add action=dst-nat chain=dstnat dst-address=fixedWANIP \
comment="端口转发到Zentyal的openVPN端口" dst-port=1196 protocol=udp \
收件人地址= 192.168.1.1向港口= 1196

你已经跟我提过了，我已经修改了。

不知道你的156.53暗指什么?这是你的固定WANIP或其他东西????

这些是真正的公共静态IP地址。我用x标记了前两个八字节，留下最后两个来帮助解释。

好的，谈谈要求和事实。

需要确认的事实:
A.办公路由器hapac2 -公开访问WANIP?如果是，静态或动态连接类型(电缆，pppoe等)??
B.家用路由器hapac2 -通过pppoe连接可访问静态WANIP。
C.办公路由器有局域网子网192.168.0.0/24
D.主路由器有三个子网192.168.1.0/24(蓝色和可信的- vlan10)， 10.0.20.0/24(绿色/dmz-vlan20)和192.168.5.0/24 (GuestWifi-vlan99)

+++++++++++++++++++++++++++++++++++

要求:

1.蓝色子网的用户在家中必须能够访问办公子网设备。
2.“Office”子网的用户必须能够访问“Blue”子网的设备
3.从办公室路由器的管理员访问，需要对家庭路由器进行配置，并对家庭路由器子网进行故障排除。
4.从家庭路由器到办公室路由器的管理员访问用于配置目的，并到办公室路由器子网进行故障排除。
5.在家用路由器内，管理员必须能够配置路由器和访问子网
6.在办公路由器内，管理员必须能够配置路由器和访问子网
7.管理访问从远程位置到主路由器的配置目的和故障排除子网
8.从远程位置到办公室路由器的管理员访问，用于配置和排除子网故障

注:需求1、2描述了一个远程VPN功能，供用户工作，并能够从本地路由器到远程路由器
注意:需求3,4描述了管理员的远程VPN功能，能够从本地路由器到远程路由器
注意:需求5,6描述了管理员在本地路由器上执行管理工作的需求。
注意:要求7,8描述了管理员需要能够从远程位置(笔记本电脑，咖啡店或酒店的智能手机等)连接到路由器的需求........)

如果这确实满足了需求，我将使用一个VPN来完成所有任务并简化生活。

你好,
不幸的是，当远程连接或从办公室通过Site2site IPSec VPN连接时，路由器仍然不能通过L2TP/IPSec VPN访问。
你能帮我一下吗，有什么问题吗?

是的，改变3个不同的vpn到一个vpn (wireguard)。
看看在转发链的末尾(非常临时地)禁用drop all规则是否允许连接，如果不是，那么就非常临时地尝试输入链，如果不是同时尝试两者，再次非常临时地尝试。
这应该可以消除防火墙规则的问题。

嗨@anav,
我没想过这个……禁用drop input规则后，我就可以用Winbox访问路由器了。

虽然我在连接L2TP/IPSec VPN时无法上网。

不幸的是，我需要所有三个vpn，因为它们都有不同的目的。

我该如何解决这个问题?

对于第一项，找出你需要允许winbox的特定输入链规则(来自lan资源，来自vpn资源等)，然后将drop rule放回。
你不希望winbox完全打开..........

至于其他，尝试重新插入您逐个禁用的任何相关规则，等等........
还有跟踪路由器上的流量的方法，看看一个请求在一个方向上走了多远，如果有响应，但我不擅长这个技能。

如果我在In Interface List=WAN设置中添加/ip防火墙过滤器动作=drop chain=input规则，那么可以通过L2TP/IPSec VPN使用Winbox访问路由器。

/ip firewall filter action=drop chain=input i-interface-list=WAN .

问得好，但原因是什么呢?

如果我没有看错，这意味着到winbox的WAN连接被正确地阻止了，但其他内部连接，如ipsec vpn传入流量，来自路由器是允许winbox的，类似于LAN用户可以访问winbox，如果防火墙规则允许。

我认为这只是部分正确。这就是如何使用Winbox通过L2TP/IPSec远程连接访问路由器。
但是如果我用L2TP/IPSec VPN远程连接到路由器，我仍然不能访问互联网，只能访问本地(BLUE_VLAN)网络…
Winbox的访问限制在192.168.0.0/23的IP地址范围内(192.168.0.1-192.168.1.254)，可以从办公网络和家庭网络访问。

然而，从办公室通过IPSec Site2site VPN，用Winbox仍然无法到达路由器，但我可以ping路由器。

最后我基本上是成功的，一切似乎都在工作。当然，我们还需要测试一段时间……

受此鼓舞，今天我准备好了办公室路由器的配置，并上传到路由器上。除了办公室和我家之间的IPSec Site2Site VPN之外，这里的一切似乎都正常工作。这两个地方都有Mikrotik H雷竞技网站apac2路由器，他们尝试连接到以前工作的IPSec设置，但在日志中有一个错误消息“阶段1协商由于时间不足而失败”。

我发现可能有一个tcp mss问题，但我检查了设定值，它是好的。这对我来说非常重要，因为我不能监督办公室的网络和设备。

有人能告诉我是什么导致了这个问题吗?

谢谢你的帮助。

当你准备放弃3个不同的vpn，只使用一个让我知道?将需要回答的要求。

我找到了一个帖子，可以同时重启两边的路由器。我之前试图从办公室重新启动它，但由于访问权限有限，我一次只能重新启动一个。当然，我不认识他们中的任何一个，因为他们正在用openVPN开发它……

今晚我重新启动了IPSec Site2Site VPN, L2TP/IPSec远程管理VPN和到服务器的openVPN都在工作。这三个都跑…

但还有一个问题，我可以通过IPSec Site2site VPN访问办公室和家庭网络以及在其上运行的设备，但只有远程路由器无法使用Winbox访问，但我可以ping通它。所以我甚至无法从远程路由器获得SNMP数据……

我需要找到规则，禁止访问远程挡板。

什么好主意吗?

我找到了一个帖子，可以同时重启两边的路由器。我之前试图从办公室重新启动它，但由于访问权限有限，我一次只能重新启动一个。当然，我不认识他们中的任何一个，因为他们正在用openVPN开发它……

今晚我重新启动了IPSec Site2Site VPN, L2TP/IPSec远程管理VPN和到服务器的openVPN都在工作。这三个都跑…

但还有一个问题，我可以通过IPSec Site2site VPN访问办公室和家庭网络以及在其上运行的设备，但只有远程路由器无法使用Winbox访问，但我可以ping通它。所以我甚至无法从远程路由器获得SNMP数据……

我需要找到规则，禁止访问远程挡板。

什么好主意吗?

通常，远程路由器上需要一个规则来允许来自外部的流量，或者你在本地路由器上没有到它的路由，或者你在远程路由器上没有路由来告诉它从你的查询中返回的流量发送到哪里。

完全正确。我走到这一步是因为问题没有通过禁用掉落规则来解决。我在努力弄清楚需要什么规则，尽管我还不知道……
我希望如果我搞清楚了，它也能解决SNMP的问题…

我正在尝试所有可能的解决方案，我正在通过旧的配置，看看它是否有帮助。

但这是个好主意……

所以它更有可能是某个地方的路由问题，或者您的防火墙规则已经在丢弃流量。

看起来vlan是问题的原因，但我不知道如何解决它。

有两台Mikrotik路由器雷竞技网站，都通过静态公网IP地址连接到Internet。两者之间为IPSec Saite2Site VPN。连接IP地址为192.168.0.0/24的路由器的VLAN和IP地址为192.168.1.0/24的路由器的VLAN。一台路由器的IP地址是192.168.0.254，另一台路由器的IP地址是192.168.1.254。
两个VLAN之间的流量正常，其中一个VLAN内的所有设备都可以访问，但另一个VLAN通过IPSec VPN无法访问路由器。可以ping其他VLAN的路由器，但不能通过Winbox连接其他VLAN的路由器。该VLAN中的路由器可以从同一个VLAN到达。

似乎是VLAN设置的问题。这是什么原因呢?

没人有什么想法吗?

感谢和问候

快速查看上面#7中发布的配置，显示没有允许远程站点通过IP访问winbox的规则。或者我没找到。

谢谢你的帮助@mkx。

这需要什么规则?你能给我举个例子吗?

感谢和问候

一旦远程用户通过vpn访问本地路由器，您需要一个输入规则来允许访问winbox。
与驻留在本地路由器上的管理员相同。
add chain=input action=accept in-interface=WGNAME src-address=remoteuserIP{如果它是wireguard远程用户即将进入}

这就是解决方案。我认为它应该在本地子网和远程子网之间转发。我不认为输入造成了问题，因为似乎两个子网之间的流量是可以接受的。

我错了，谢谢你指出我的错误想法。这就是为什么有时候你需要一个全新的视角来看待问题……

我会再测试一遍，谢谢你的帮助。

感谢和问候