thảo luận Cộng đồng người dùng MikroTik Router

binna · Jul 6, 2021

Imhomtep said:
Bác post config lên đây

Code:

# jul/06/2021 19:53:45 by RouterOS 6.47.10
# software id = EP1V-0VPD
#
# model = RouterBOARD 750G r3
# serial number = 6F39084D554D
/interface bridge
add add-dhcp-option82=yes dhcp-snooping=yes igmp-snooping=yes mtu=1500 name=\
    HomeLAN
/interface ethernet
set [ find default-name=ether5 ] disabled=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    password=xxxx service-name=VNPT use-peer-dns=yes user=myname
/interface pptp-client
add connect-to=204.194.232.200 name=pptp-out1 password=xxx user=myname
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec mode-config
add name=SGN responder=no src-address-list=local
/ip ipsec policy group
add name=SGN
/ip ipsec profile
add name=SGN
/ip ipsec peer
add address=th-bkk.prod.surfshark.com exchange-mode=ike2 name=SGN profile=SGN
/ip ipsec proposal
add name=SGN pfs-group=none
/ip kid-control
add fri=0s-1d mon=0s-1d name=system-dummy sat=0s-1d sun=0s-1d thu=0s-1d tue=\
    0s-1d tur-fri=0s-1d tur-mon=0s-1d tur-sat=0s-1d tur-sun=0s-1d tur-thu=\
    0s-1d tur-tue=0s-1d tur-wed=0s-1d wed=0s-1d
/ip pool
add name=dhcp ranges=192.168.68.2-192.168.68.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=HomeLAN name=dhcp1
/interface bridge port
add bridge=HomeLAN interface=ether2
add bridge=HomeLAN interface=ether3
add bridge=HomeLAN interface=ether4
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=pppoe-out1 list=WAN
add interface=HomeLAN list=LAN
add disabled=yes interface=ether1 list=WAN
/ip address
add address=192.168.68.1/24 interface=ether2 network=192.168.68.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=192.168.68.0/24 dns-server=123.26.26.26,8.8.8.8 gateway=\
    192.168.68.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.68.0/24 list=local
/ip firewall filter
add action=accept chain=input comment="allow ipsec-ah" protocol=ipsec-ah
add action=accept chain=input comment="allow ipsec-esp" protocol=ipsec-esp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1 \
    out-interface-list=WAN
add action=masquerade chain=srcnat disabled=yes out-interface=pptp-out1 \
    out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=5000 protocol=tcp to-addresses=\
    192.168.68.200 to-ports=5000
add action=dst-nat chain=dstnat disabled=yes dst-port=5001 protocol=tcp \
    to-addresses=192.168.68.200 to-ports=5001
add action=dst-nat chain=dstnat disabled=yes dst-port=80 protocol=tcp \
    to-addresses=192.168.68.200 to-ports=80
add action=dst-nat chain=dstnat dst-port=58050-58051 protocol=tcp \
    to-addresses=192.168.68.200 to-ports=58050-58051
add action=dst-nat chain=dstnat dst-port=8085 protocol=tcp to-addresses=\
    192.168.68.200 to-ports=8085
add action=dst-nat chain=dstnat dst-port=5005-5006 protocol=tcp to-addresses=\
    192.168.68.200 to-ports=5005-5006
add action=masquerade chain=srcnat dst-address=192.168.68.200 dst-port=5000 \
    out-interface=HomeLAN protocol=tcp src-address=192.168.68.0/24
add action=masquerade chain=srcnat dst-address=192.168.68.200 dst-port=5001 \
    out-interface=HomeLAN protocol=tcp src-address=192.168.68.0/24
/ip ipsec identity
add auth-method=eap certificate=surfshark_ikev2.crt_0 disabled=yes \
    eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=SGN \
    notrack-chain=- password=xxxxxxxxxxxxxxxxxxxxxxx peer=SGN \
    policy-template-group=SGN username=dbxxxxxxxxxxxxxHry
/ip ipsec policy
add dst-address=0.0.0.0/0 group=SGN proposal=SGN src-address=0.0.0.0/0 \
    template=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set www-ssl disabled=no
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Bangkok
/system scheduler
add interval=2w1d name="cap nhat DDNS" on-event="DDNS NoIP" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-time=startup
/system script
add dont-require-permissions=no name="DDNS NoIP" owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":\
    local noipuser \"[email protected]\"\
    \n:local noippass \"xxxx\"\
    \n:local noiphost \"binna.ddns.net\"\
    \n# Ban muon Ten Mien cap nhat vao duong WAN nao, hay go chinh xac ten duo\
    ng WAN\
    \n     # De xem ten duong WAN, ban vao Menu PPP.\
    \n:local inetinterface \"pppoe-out1\"\
    \n#-----------------------------------------------------------------------\
    -------------\
    \n# No more changes need\
    \n:global previousIP\
    \n:if ([/interface get \$inetinterface value-name=running]) do={\
    \n# Get the current IP on the interface\
    \n   :local currentIP [/ip address get [find interface=\"\$inetinterface\"\
    \_disabled=no] address]\
    \n# Strip the net mask off the IP address\
    \n   :for i from=( [:len \$currentIP] - 1) to=0 do={\
    \n       :if ( [:pick \$currentIP \$i] = \"/\") do={ \
    \n           :set currentIP [:pick \$currentIP 0 \$i]\
    \n       } \
    \n   }\
    \n\
    \n   :if (\$currentIP != \$previousIP) do={\
    \n       :log info \"No-IP: Current IP \$currentIP is not equal to previou\
    s IP, update needed\"\
    \n       :set previousIP \$currentIP\
    \n\
    \n# The update URL. Note the \"\\3F\" is hex for question mark (\?). Requi\
    red since \? is a special character in commands.\
    \n       :local url \"http://dynupdate.no-ip.com/nic/update\\3Fmyip=\$curr\
    entIP\"\
    \n       :local noiphostarray\
    \n       :set noiphostarray [:toarray \$noiphost]\
    \n       :foreach host in=\$noiphostarray do={\
    \n           :log info \"No-IP: Sending update for \$host\"\
    \n           /tool fetch url=(\$url . \"&hostname=\$host\") user=\$noipuse\
    r password=\$noippass mode=http dst-path=(\"no-ip_ddns_update-\" . \$host \
    . \".txt\")\
    \n           :log info \"No-IP: Host \$host updated on No-IP with IP \$cur\
    rentIP\"\
    \n       }\
    \n   }  else={\
    \n       :log info \"No-IP: Previous IP \$previousIP is equal to current I\
    P, no update needed\"\
    \n   }\
    \n} else={\
    \n   :log info \"No-IP: \$inetinterface is not currently running, so there\
    fore will not update.\"\
    \n}\
    \n"

nhờ bác @Imhomtep xem giúp ah

dark_baron · Jul 6, 2021

binna said:
em cũng bị mà khác, là kết nối chập chờn - xem trong Active Peer nó đếm Up time tầm 20 ~ 30 giây (tùy lúc) sau đó là out ra, rồi lại kết nối....rồi out...

Mò ra lỗi rồi

Do mình nghịch bỏ phần cấu hình DNS đi ~> client vẫn ra đc mạng bth do DNS từ DHCP cấp, tuy nhiên con mik ko phân giải được domain của VPN nên tạch

Post lên đây để anh em ai gặp vụ tương tự có thêm chút manh mối mà ktra.

dark_baron · Jul 6, 2021

Imhomtep said:
Bác xem script của bác @cuibapvodanh ở mấy page trước có rule filter access ipsec thêm vào. Disable fasttrack và fastpath đi nhé.

Disable fasttrack đi là VPN SS mượt ngay :*
Fastpath em vẫn giữ lại, cảm giác nó ngon hơn đc khoảng 10ms ping

cuibapvodanh · Jul 6, 2021

Bác nào có address-list các dạng netflix/youtube share cho ae với

thong333 · Jul 6, 2021

binna said:
/ip ipsec identity add auth-method=eap certificate=surfshark_ikev2.crt_0 disabled=yes \ eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=SGN \ notrack-chain=- password=xxxxxxxxxxxxxxxxxxxxxxx peer=SGN \ policy-template-group=SGN username=dbxxxxxxxxxxxxxHry

identities đang enable hay disable bạn?

binna · Jul 7, 2021

thong333 said:
identities đang enable hay disable bạn?

Nó chạy cà giựt nên mình disable đó bạn
Mình xem trong active peer thì mik có kết nối, lấy được số IP của VPN, nhưng tầm 20-30 giây là out ra

bachkimden · Jul 7, 2021

binna said:
Nó chạy cà giựt nên mình disable đó bạn
Mình xem trong active peer thì mik có kết nối, lấy được số IP của vốn, nhưng tầm 20-30 giây là out ra

Mở log lên xem thử nó báo lỗi thế nào bác

hetien · Jul 7, 2021

cuibapvodanh said:
Bác nào có address-list các dạng netflix/youtube share cho ae với

Đây.

queenfrozen · Jul 7, 2021

DzatBuon said:
dùng macbook có cấu hình được mikroTik không anh em?

Tải luôn winbox for mac là đc mà

via theNEXTvoz for iPhone

DzatBuon · Jul 7, 2021

queenfrozen said:
Tải luôn winbox for mac là đc mà

via theNEXTvoz for iPhone

thôi không chơi kiểu đấy!!!?

tmk1207 · Jul 7, 2021

AP11 1.5tr / con, húp nào anh em
https://www.chotot.com/tp-ho-chi-mi...re_buttons&utm_campaign=share_ad_via_facebook

binna · Jul 7, 2021

bachkimden said:
Mở log lên xem thử nó báo lỗi thế nào bác

ở cột uptime, chạy được tầm 10~20 giây là out ra
file log đây ah @bachkimden

dark_baron · Jul 7, 2021

binna said:
View attachment 637999

View attachment 638004
ở cột uptime, chạy được tầm 10~20 giây là out ra
file log đây ah @bachkimden

Thêm rule này vào firewall đi xem sao mai phăng

SQL:

/ip firewall filter
add action=accept chain=input port=1701,500,4500 protocol=udp

binna · Jul 7, 2021

dark_baron said:
Thêm rule này vào firewall đi xem sao mai phăng

SQL:

/ip firewall filter add action=accept chain=input port=1701,500,4500 protocol=udp

thank phen.....
cũng còn bị y chang............ haizzz.... nản quá.... cài hoài ko được !!!!!!!!!!!

bachkimden · Jul 7, 2021

binna said:
View attachment 637999

View attachment 638004
ở cột uptime, chạy được tầm 10~20 giây là out ra
file log đây ah @bachkimden

Giờ bác thử thế này xem kết quả ra sao:

- Bác thử nâng cấp router mik lên ver mới nhất (6.48.3) nếu con mik đang ở ver củ hơn

- Reset con router về trạng thái ban đầu, chỉ còn những rule firewall, nat mặc định của nhà sản xuất.

- Lên web surfshark tải lại chứng chỉ mới.

- Thêm VPN vào con mik theo hướng dẫn của chính surfshark (https://support.surfshark.com/hc/en-us/articles/360012906220-Mikrotik-router-tutorial-with-IKEv2).

binna · Jul 7, 2021

bachkimden said:
Giờ bác thử thế này xem kết quả ra sao:

- Bác thử nâng cấp router mik lên ver mới nhất (6.48.3) nếu con mik đang ở ver củ hơn

- Reset con router về trạng thái ban đầu, chỉ còn những rule firewall, nat mặc định của nhà sản xuất.

- Lên web surfshark tải lại chứng chỉ mới.

- Thêm VPN vào con mik theo hướng dẫn của chính surfshark (https://support.surfshark.com/hc/en-us/articles/360012906220-Mikrotik-router-tutorial-with-IKEv2).

cảm ơn mai-fen
để thử reset xem thế nào, nhưng em nghĩ là do Credentials của Surfshark, chứ ko phải do con Mik
Vì, em cài lên laptop, dùng Window 10, connect thì OK, nhưng nó báo là No internet

dùng openVPN, cũng Credentials đó thì chạy ngon lành (dùng Win 10).......... haizzzzzzz

VN.Classic · Jul 7, 2021

tmk1207 said:
AP11 1.5tr / con, húp nào anh em
https://www.chotot.com/tp-ho-chi-mi...re_buttons&utm_campaign=share_ad_via_facebook

Xúc đi cụ, ngon đó

tmk1207 · Jul 7, 2021

VN.Classic said:
Xúc đi cụ, ngon đó

Mình đăng cho các Cụ húp,chứ nhà mình nhiều quá rồi mua làm gì nữa

dark_baron · Jul 7, 2021

binna said:
cảm ơn mai-fen
để thử reset xem thế nào, nhưng em nghĩ là do Credentials của Surfshark, chứ ko phải do con Mik
Vì, em cài lên laptop, dùng Window 10, connect thì OK, nhưng nó báo là No internet
View attachment 638106
dùng openVPN, cũng Credentials đó thì chạy ngon lành (dùng Win 10).......... haizzzzzzz

Vậy bác ktra clock trên con mik set đúng chưa hay bị sai giờ? :sweat:

binna · Jul 7, 2021

dark_baron said:
Vậy bác ktra clock trên con mik set đúng chưa hay bị sai giờ?

clock là thời gian hả bác?... đúng luôn, đang để zone = Asia/Bangkok

thảo luận Cộng đồng người dùng MikroTik Router

Senior Member

Đã tốn tiền

Đã tốn tiền

Member

Junior Member

Senior Member

Senior Member

Senior Member

Attachments

Đã tốn tiền

Junior Member

Senior Member

Senior Member

Đã tốn tiền

Senior Member

Senior Member

Senior Member

Member

Senior Member

Đã tốn tiền

Senior Member

Similar threads

Share this page