高防服务器

routeros 是由 mikrotik 企业开发的基于 linux 内核的路由操作过程系统，是目前网站功能较强、运用较广的一款软路由系统，适用于中小企事业单位、网吧、宾馆和服务商。根据该软件能够将标准的 pc 电脑变成专业路由器，在软件的开发和运用上能够不断地更新和发展，使其网站功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等网站功能上有着非常突出的网站功能。

本文旨在介绍在服务器上使用 mikrotik routeros chr 6.48.1 在腾讯云新加坡IDC机房和 aws新加坡IDC机房的两台服务器上配置隧道。

也要注意的是，本文所操作过程的服务器均位于新加坡，服务器之间的加密信息通信均属新加坡国内通信交换，符合相关falvfagui。

若您尚未了解 mikrotik routeros 的安装和配置，请移步www.idcbest.com/servernews/11007875.html 开始您的第一步。

一、服务器租赁

一般情况下，在不兼容 ipsec 硬件加密的 chr (cloud hosted router) 上，完成安全性通信隧道也要仰仗较强的算力兼容，因此按照所也要的实时信息处理量来选购配置是10分非常重要的。本文因仅供测试，选用的是 24 元/月 cpu：1核 (独享) 配置，能够处理一般的信息流。

2、安装和配置服务器

2.1 安装和初始化

routeros 的安装和最基础配置请移步《在服务器上安装mikrotik routeros并配置简单的端口转发》，请最少做到关键步骤《3.2.3 注册 routeros》。

2.2 放行端口

 

进进轻量运用服务器管理界面，点击“防火墙”选项延迟大，创建对所有 (all) 端口的放行规则。由于建立隧道也要用到许多端口，因此建议直接放行所有端口以确保的可用性。

 

在 aws IDC机房的服务器上执行相同的操作过程。

1、创建隧道

3.1 创建 gre tunnel

3.1.1 创建 interface for gre

 

打开 winbox 里的 interface 界面，转到 gre tunnel 选项延迟大，单击左上角的“+”按钮。

 

在弹出的窗口中填写相应的信息内容，这其中 name 字段能够自定义，mtu 的值为 1500，local address 为本机的内网地址（在轻量运用服务器管理界面“概要”选项延迟大的“网络信息内容”一栏中有显示），remote address 为对端服务器的公网 ip 地址。单击右侧的 “ok” 按钮保存。

 

在 aws IDC机房的服务器上执行相同的操作过程。这其中 local address 和 remote address 也要修改。

 

双端出现 r 时，说明隧道已经建立。

 

3.1.2 配置隧道双端的 ip 地址

 

点选 ip – address 后弹出 address list 窗口。

 

单击左上角的“+”按钮，弹出 new address 窗口。在这其中填写相应的信息内容，这其中 address 为自定义的内网 ip 地址，不要与已有的地址重复；network 将会按照 address 中填写的 ip/cidr 全自动数据处理；interface 挑选上一关键步骤中创建的 gre 隧道的名称。单击右侧的 “ok” 按钮保存。

 

在 aws IDC机房的服务器上执行相同的操作过程。这其中 address 也要与对端服务器在同一网段内。

 

隧道两端互相对 ping，能够看到信息包可以到达。

3.2 创建 ipip tunnel

3.2.1 创建 interface for ipsec

 

打开 winbox 里的 interface 界面，转到 ip tunnel 选项延迟大，单击左上角的“+”按钮。

 

在弹出的窗口中填写相应的信息内容，这其中 name 字段能够自定义，mtu 的值为 1480，local address 为关键步骤 3.1.2 中为本机设定的 ip 地址，remote address 为在关键步骤 3.1.2 中在对端服务器上设定的 ip 地址，ipsec secret 请自定义，底部的 allow fast path 请取消勾选（chr 一般不兼容 ipsec 硬件加速）。单击右侧的 “ok” 按钮保存。

 

在 aws IDC机房的服务器上执行相同的操作过程。这其中 local address 和 remote address 也要修改。

 

双端出现 r 时，说明隧道已经建立。

3.2.2 配置隧道双端的 ip 地址

 

点选 ip – address 后弹出 address list 窗口。

 

单击左上角的“+”按钮，弹出 new address 窗口。在这其中填写相应的信息内容，这其中 address 为自定义的内网 ip 地址，不要与已有的地址重复；network 将会按照 address 中填写的 ip/cidr 全自动数据处理；interface 挑选上一关键步骤中创建的 ipsec 隧道的名称。单击右侧的 “ok” 按钮保存。

 

在 aws IDC机房的服务器上执行相同的操作过程。这其中 address 也要与对端服务器在同一网段内。

 

隧道两端互相对 ping，能够看到信息包可以到达。

4、测速

4.1 gre 隧道测速

 

点选 tools – bandwidth test 后弹出 bandwidth test 窗口。

 

与 iperf3 工具类似，bandwidth test 可开展发送方和接收方模式的测速，兼容 tcp 和 udp 协议。在 test to 内填写在关键步骤 3.1.2 中在对端服务器上设定的 ip 地址，direction 为测速的接受/发送方模式挑选，输进对端服务器的 user 和 password 后单击右侧的 “start” 按钮开始测速。

 

收发带宽测试结果如图所示，能够说是跑满带宽了。

4.2 ipsec 隧道测速

将关键步骤 4.1 中的 test to 地址改为关键步骤 3.2.2 中在对端服务器上设定的 ip 地址，单击右侧的 “start” 按钮开始测速。

 

建立在 gre 隧道内的 ipsec 软件加密隧道在这样种小带宽场景下依旧未损失多少配置，带宽依然非常充足。

 

【文章原创作者阜宁网站设计公司 http://www.1234xp.com/funing.html 欢迎留下您的宝贵建议】