я думал манглом метить прероутинг чайн для конкретного одного адреса и дефолтный маршрут для него прописать, для этого роутинг марк, но почему-то не заработало

http://memesmix.net/media/created/4tbuoh.jpg

Всем привет. как на l2tp выдавать 30 сеть ?

ммм... утрооо

коллеги, я правильно понимаю, что если у меня есть политика ipsec (для l2tp) для всех нулей в src и dst, то у меня могут возникнуть (и видимо есть) проблемы при использовании автоматического ipsec в туннелях?

коллеги, я правильно понимаю, что если у меня есть политика ipsec (для l2tp) для всех нулей в src и dst, то у меня могут возникнуть (и видимо есть) проблемы при использовании автоматического ipsec в туннелях?

у меня такого нет

чуть подробнее - есть l2tp/ipsec. есть линк по нему. политика написана руками и в адресах src и dst указаны 0,0,0,0/0.

я так понимаю, что под эту политику попадут и те туннели, которые будут автоматом создавать настройки ипсек для GRE туннеля

сделай несколько правил

просто у меня не хочет работать такой туннель - gre/ipsec

У меня тоже с автоматическими ipsec/gre были проблемы

Поэтому руками делал все

У меня тоже с автоматическими ipsec/gre были проблемы

я сейчас убрал PSK. туннель тоже не поднимается....

все, что насоздавалось в ipsec поубирал, но все-равно туннель не поднимается

что пишут логи

А руками если делаешь туннели и наверх gre работает?

да вот начал изучать как это дебажить

я думал использовать ипсек только для шифрования. туннель через гре

Ipsec over gre или gre over ipsec

На Хабре сдсм описывали это

Ipsec over gre или gre over ipsec

видимо первое

я делаю туннель гре и в нем задаю параметр PSK

сейчас убрал этот параметр, тоже не поднимается чистый гре

сейчас убрал этот параметр, тоже не поднимается чистый гре

а чем вас l2tp не устраивет ?

сейчас убрал этот параметр, тоже не поднимается чистый гре

что пишиш в remoute

что пишиш в remoute

имя роутера

а чем вас l2tp не устраивет ?

хз. настройкой

Всем привет. как на l2tp выдавать 30 сеть ?

Если для сервера l2tp, то наверное в настройках профиля для сервера, указать пул из 30 сети. Или как вы адреса сейчас выдаёте?

я ж говорю - имя роутера. локальный адрес - адрес интерфейса, с которого надо этот туннель поднять

у меня на белые адреса имена заданы

remote - внешний ip к кому подключаетель

remote - внешний ip к кому подключаетель

ну да. тут вроде ясно все

я туда пишу bla-bla.domen.ru. оно у меня разрешается в нужный адрес

ну да. тут вроде ясно все

ip это не DNS

оно так работало. так что скорее всего дело не в этом

Попробуй для начала по одной технологии настраивать

Сначала ipsec

Потом усложнишь

Накинув gre

ребят прото вбейте ip

У меня тоже ip в гре

Никаких имен

походу дело в провайдере

я поменял на другой канал - тунель поднялся

щас проверю с ipsec

а какая разница между gre/ipsec и ipsec/gre?

и что поднимается при настройке туннеля гре и указании ipsec psk в его параметрах?

саианистом надо быть второе использывать

я же првильно понимаю, что первое - сначала поднимается гре, а внутри уже ипсек

gre over ipsec -транспорт

во втором случае наоборот - делается туннель ипсек и в него заворачивается гре

я вот не вижу смысла во втором

gre over ipsec -транспорт

вот так надо делать

и что поднимается при настройке туннеля гре и указании ipsec psk в его параметрах?

т.е. это неправильно?

то есть данные GRE инкапсулируются заголовками ESP или AH

а если наоборот, то ты должен будешь отдельно на чем нибудь шифровать перед тунелированием

я говорю про автонастройку ипсек

ну прешаред кей наверно

а я один не люблю кипэлайвы в гре?

а я один не люблю кипэлайвы в гре?

+

что ты хочешь сделать в итоге? что не получаеться то? я может не понял

я хочу связь между филиалами по нескольким каналам. и не сношать мозги. если есть вариант проще - зачем мудрить

при этом я не хочу закладываться на пинги интернетов и рекурсивные маршруты, т.к. не очень красиво

ERROR: S client not available

цуцковский dmvpn решает конечно)

а туннели это решают

4 туннеля между филиалами

по 2 ISP в каждом

ну тривиально, в чем проблема то?

ipsec транспортом шифруй

ну тривиально, в чем проблема то?

изначально в том, что провайдер засранец

но после стали вылазить еще моменты. типа gre/ipsec vs ipsec/gre, keep alive

мне надо простую в настройке конфигурацию. настройка gre и указание там ipsec secret вроде подходит

ip sec secret это типо pre-shared-key?

да

при его указании генерируются настройки ipsec динамически

ну для установки первой фазы

при его указании генерируются настройки ipsec динамически

как это?? динамически

нгу так

что бы установилась первая фаза у тебя должны политики совпадать и как раз прешаред кей

буковка D перед элементами в меню ipsec

политики, пиры, ремот пиры, installed SA

незнаю может у микротика там придумали что нить, у меня стоят все работает элементарно

значит у меня еще элементарнее =)

политики, пиры, ремот пиры, installed SA

вообще понимаешь как ipsec работает ? как происходит первая вторая фаза

вообще понимаешь как ipsec работает ? как происходит первая вторая фаза

не очень. тики для меня сделали удобно. чем я и воспользовался

туннель работает

проблема была в провайдере. видимо гре режет

а почему keepalive в gre плохо?

Привет всем!

Наконец-то я Вас нашел :)

Фига у вас тут с самого утра траблшутинг

проблема была в провайдере. видимо гре режет

ну можно было за дампить посмотреть кто что режет

Поставил по инструкции (не помню с какого сайта, но вроде хбрхбр) mikrotik sxt lite 5, сигнал есть 3-4 деления, вокруг только деревья, на шлюзе 8 этаж, клиент 3 этаж. максимальная скорость 25 Мбит/с.

Реально сделать еще больше?

Ну например поднять до 100 Мбит/с?