отказыввайся от pfsense

раз ты его не контроллируешь, лучше его убрать из схемы

Сложное решение =)

привет! не тушуйся, щас ребята тебя обстебут как следует, но в итоге помогут =) (но это не точно)

Обстебут точно

))

Коллеги какой прокси с человечискими логими и подменой https сертификата в офис порекомендуете?

Коллеги какой прокси с человечискими логими и подменой https сертификата в офис порекомендуете?

kerio

А такчтобы в принцыпн за лицензию не платить?

А такчтобы в принцыпн за лицензию не платить?

тогда собирать из squid и какого либо лог-анализатора

Готов заказать кейс ( за деньги ): -Установка на виртуалку esxi ( виртуалку подготовим -белые/черные списки -группы юзеров -логи -подмена ssl сертификата на собственный

Готов заказать кейс ( за деньги ): -Установка на виртуалку esxi ( виртуалку подготовим -белые/черные списки -группы юзеров -логи -подмена ssl сертификата на собственный

я правильно понял, что ты готов оплатить работу по настройке прокси?

^^^

понятно. я лучше посплю )

я правильно понял, что ты готов оплатить работу по настройке прокси?

Да готов

В личку мне тут pfsense рекомендуют

В личку мне тут pfsense рекомендуют

собственно да, там свкид участвует

Готов заказать кейс ( за деньги ): -Установка на виртуалку esxi ( виртуалку подготовим -белые/черные списки -группы юзеров -логи -подмена ssl сертификата на собственный

я не возьмусь, если что ) напиши на фрилансим, там наверняка есть админы с готовыми решениями

Тут все свои

Че на сторону платить

всем доброго дня, вечера

Тут все свои

сквид и анализатор, оч нишевое и мозгоделательное решение. не все лишь многие готовы его продавать в эксплуатацию я развертывал пару раз и теперь готов такие работы проводить либо за пару сотен тыщь или не касаться совсем ) это моя ситуация и возможно у других другая практика )

сквид и анализатор, оч нишевое и мозгоделательное решение. не все лишь многие готовы его продавать в эксплуатацию я развертывал пару раз и теперь готов такие работы проводить либо за пару сотен тыщь или не касаться совсем ) это моя ситуация и возможно у других другая практика )

Пару сотен тысяч это два месяца фултайма, как то за сквид - дохеера

Пару сотен тысяч это два месяца фултайма, как то за сквид - дохеера

вот и славно )

Пару сотен тысяч это два месяца фултайма, как то за сквид - дохеера

это был ответ "нет, низачто" просто развёрнутый

Цена отказа))

Всем снова привет! Я уже задавал вопрос по поводу как прокинуть l2tp через микротик на TMG, на котором поднят VPN, получил ответы где копать, но всё равно ничего не работает. А у кого-нибудь вообще это получилось реализовать?

Всем снова привет! Я уже задавал вопрос по поводу как прокинуть l2tp через микротик на TMG, на котором поднят VPN, получил ответы где копать, но всё равно ничего не работает. А у кого-нибудь вообще это получилось реализовать?

я даж как то реализовывал. напомни в чем суть проблемы?

Цена отказа))

Вероятно проблема в том, что просто "Взять и настроить" недостаточно. Нужно настроить - проверить - поправить - А вот тут отвалилось - а вот этот девайс ругается - а вот тут не работает - а вот донастрой - а вот тут скрипт бы и тыды

Вероятно проблема в том, что просто "Взять и настроить" недостаточно. Нужно настроить - проверить - поправить - А вот тут отвалилось - а вот этот девайс ругается - а вот тут не работает - а вот донастрой - а вот тут скрипт бы и тыды

ты прав. оч проблемное в поддержке решение.

я даж как то реализовывал. напомни в чем суть проблемы?

А проблема в том, что всё, что советовали не работает.

А проблема в том, что всё, что советовали не работает.

кинь текст проблемы, я не в курсе

возможно помогу

Есть виденье: сейчас ли в скайпе тз согласовали. Интерфейсы в еесели квадратиками нарисовали, формы отчетов там же. Все что с выше - доп деньги

да прокси сама по себе жопа

даже если не брать расчет что сразу же ничего предусмотреть на чужой инсталляции никак не выйдет

и будет заказчик себя считать обманутым и исполнитель потом еще себе шлейф обращений огребёт. нахер надо кароч

Есть виденье: сейчас ли в скайпе тз согласовали. Интерфейсы в еесели квадратиками нарисовали, формы отчетов там же. Все что с выше - доп деньги

во во. и веб интерфейс нарисуйте как мы хотим и вот тут нам нужна такая то галочка, а как нам группировать.... ))

Ключ разговора плавное перетекаят: так как мы не знаем как этт делать, будемсчитать что это не нужно делать либо невозможно. Я же не дип систему себе хочу)))

во во. и веб интерфейс нарисуйте как мы хотим и вот тут нам нужна такая то галочка, а как нам группировать.... ))

К дизайну претензий нет

кинь текст проблемы, я не в курсе

Всем привет! Столкнулись с проблемкой. Есть VPN PPTP и L2TP, который поднят на TMG, из DMZ( в обход микротика) L2TP работает, а снаружи нет. На микротике сделан проброс портов 1701,500,50,4500. PPTP раборает как снаружи, так и извне. Правила NAT 29 ;;; VPN-pptp chain=dstnat action=netmap to-addresses=192.168.111.3 to-ports=1723 protocol=tcp in-interface=first dst-port=1723 log=no log-prefix="" 30 chain=dstnat action=accept protocol=tcp in-interface=first dst-port=5006 log=no log-prefix="" 31 chain=dstnat action=accept protocol=gre in-interface=first log=no log-prefix="" 32 chain=dstnat action=accept to-addresses=192.168.111.3 to-ports=5006 protocol=tcp in-interface=express dst-port=5006 log=no log-prefix="" 33 chain=dstnat action=netmap to-addresses=192.168.111.3 to-ports=1723 protocol=tcp in-interface=express dst-port=1723 log=no log-prefix="" 34 chain=dstnat action=accept protocol=gre in-interface=express log=no log-prefix="" 35 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=1701 protocol=udp dst-port=1701 log=yes log-prefix="" 36 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=1701 protocol=tcp dst-port=1701 log=no log-prefix="" 37 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=4500 protocol=udp dst-port=4500 log=yes log-prefix="" 38 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=500 protocol=udp dst-port=500 log=yes log-prefix="" 39 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=50 protocol=udp dst-port=50 log=no log-prefix="" 40 chain=dstnat action=dst-nat to-addresses=192.168.111.3 protocol=ipsec-esp log=no log-prefix="" Правила FW 18 chain=input action=accept protocol=ipsec-esp in-interface=first log=yes log-prefix="" 19 chain=forward action=accept protocol=ipsec-esp in-interface=first log=yes log-prefix="" 20 chain=input action=accept protocol=udp in-interface=first dst-port=50,500,1701,4500 log=yes log-prefix="" 21 chain=forward action=accept protocol=udp in-interface=first dst-port=50,500,1701,4500 log=yes log-prefix=""

Для кода есть отличный сайт

..

угу. я к тому, что корпоративный прокси сервер по стоимости разработки с ноля (выпилка напильником под нужды заказчика) будет стоить в районе 100-200 тр. и намного проще обратиться в специализированные ресурсы, где возможно есть уже готовые решения, которые вам смогут предложить в районе 50к

угу. я к тому, что корпоративный прокси сервер по стоимости разработки с ноля (выпилка напильником под нужды заказчика) будет стоить в районе 100-200 тр. и намного проще обратиться в специализированные ресурсы, где возможно есть уже готовые решения, которые вам смогут предложить в районе 50к

Так мне на 10 юзеров, вас esxi корпоративным испугал?

Всем привет! Столкнулись с проблемкой. Есть VPN PPTP и L2TP, который поднят на TMG, из DMZ( в обход микротика) L2TP работает, а снаружи нет. На микротике сделан проброс портов 1701,500,50,4500. PPTP раборает как снаружи, так и извне. Правила NAT 29 ;;; VPN-pptp chain=dstnat action=netmap to-addresses=192.168.111.3 to-ports=1723 protocol=tcp in-interface=first dst-port=1723 log=no log-prefix="" 30 chain=dstnat action=accept protocol=tcp in-interface=first dst-port=5006 log=no log-prefix="" 31 chain=dstnat action=accept protocol=gre in-interface=first log=no log-prefix="" 32 chain=dstnat action=accept to-addresses=192.168.111.3 to-ports=5006 protocol=tcp in-interface=express dst-port=5006 log=no log-prefix="" 33 chain=dstnat action=netmap to-addresses=192.168.111.3 to-ports=1723 protocol=tcp in-interface=express dst-port=1723 log=no log-prefix="" 34 chain=dstnat action=accept protocol=gre in-interface=express log=no log-prefix="" 35 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=1701 protocol=udp dst-port=1701 log=yes log-prefix="" 36 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=1701 protocol=tcp dst-port=1701 log=no log-prefix="" 37 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=4500 protocol=udp dst-port=4500 log=yes log-prefix="" 38 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=500 protocol=udp dst-port=500 log=yes log-prefix="" 39 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=50 protocol=udp dst-port=50 log=no log-prefix="" 40 chain=dstnat action=dst-nat to-addresses=192.168.111.3 protocol=ipsec-esp log=no log-prefix="" Правила FW 18 chain=input action=accept protocol=ipsec-esp in-interface=first log=yes log-prefix="" 19 chain=forward action=accept protocol=ipsec-esp in-interface=first log=yes log-prefix="" 20 chain=input action=accept protocol=udp in-interface=first dst-port=50,500,1701,4500 log=yes log-prefix="" 21 chain=forward action=accept protocol=udp in-interface=first dst-port=50,500,1701,4500 log=yes log-prefix=""

честно, не понял схему. у тебя есть TMG и его надо связать с MK по L2TP ? или как?

честно, не понял схему. у тебя есть TMG и его надо связать с MK по L2TP ? или как?

У меня есть TMG, которая стоит за микротиком, на ней поднят VPN, и мне нужно чтобы микротик пропускал VPN подключения к TMG. Между TMG и микротом NAT.

У меня есть TMG, которая стоит за микротиком, на ней поднят VPN, и мне нужно чтобы микротик пропускал VPN подключения к TMG. Между TMG и микротом NAT.

воу воу. Это как бы нат, ты вкурсе что те кто за другим НАТОМ не смогут нормально это юзать?

воу воу. Это как бы нат, ты вкурсе что те кто за другим НАТОМ не смогут нормально это юзать?

Это, это что?

Это, это что?

У тебя Сервер VPN находится за NAT. Клиенту VPN, который тоже окажется за NAT - не понравится это

воу воу. Это как бы нат, ты вкурсе что те кто за другим НАТОМ не смогут нормально это юзать?

Предпологается что l2tp подключается снаружи, микрот форвардит порты до TMG.

Предпологается что l2tp подключается снаружи, микрот форвардит порты до TMG.

у тебя dst-nat выполняется, какой форвардинг?

Предпологается что l2tp подключается снаружи, микрот форвардит порты до TMG.

такой подход в организации хождения трафика носит конкретное название - это Destanation Network Address Translation - DNAT. Вы берёте адрес назначения в пакете и переписываете его, payloud пакета при этом не трогаете, если внутри (в содержимом) будет критичный к адресации контент (например тот что VPN + NAT) всё сломается =)

Предпологается что l2tp подключается снаружи, микрот форвардит порты до TMG.

вам нужно или TMG выставить наружу (присвоить его интерфейсу белый адрес), или приземлять VPN на микротик

Предпологается что l2tp подключается снаружи, микрот форвардит порты до TMG.

не удивительно, что "ничего из подсказанного на форумах" вам не помогает =)

не удивительно, что "ничего из подсказанного на форумах" вам не помогает =)

Гдеж ты был, мил человек, пару недель назад))) Спасибо, что хоть сейчас стало понятно!

Гдеж ты был, мил человек, пару недель назад))) Спасибо, что хоть сейчас стало понятно!

"ну ты заходи если что" =)

На всякий случай вопрос залу. Есть ли у кого опыт подключения mikrotik к pfSense (ipsec, ovpn, l2tp)

На всякий случай вопрос залу. Есть ли у кого опыт подключения mikrotik к pfSense (ipsec, ovpn, l2tp)

ipsec туннель городил, работал

парни, так можно?

типа lte modem

Если работает, то почему нет

а работает вообще?

Всем привет! Столкнулись с проблемкой. Есть VPN PPTP и L2TP, который поднят на TMG, из DMZ( в обход микротика) L2TP работает, а снаружи нет. На микротике сделан проброс портов 1701,500,50,4500. PPTP раборает как снаружи, так и извне. Правила NAT 29 ;;; VPN-pptp chain=dstnat action=netmap to-addresses=192.168.111.3 to-ports=1723 protocol=tcp in-interface=first dst-port=1723 log=no log-prefix="" 30 chain=dstnat action=accept protocol=tcp in-interface=first dst-port=5006 log=no log-prefix="" 31 chain=dstnat action=accept protocol=gre in-interface=first log=no log-prefix="" 32 chain=dstnat action=accept to-addresses=192.168.111.3 to-ports=5006 protocol=tcp in-interface=express dst-port=5006 log=no log-prefix="" 33 chain=dstnat action=netmap to-addresses=192.168.111.3 to-ports=1723 protocol=tcp in-interface=express dst-port=1723 log=no log-prefix="" 34 chain=dstnat action=accept protocol=gre in-interface=express log=no log-prefix="" 35 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=1701 protocol=udp dst-port=1701 log=yes log-prefix="" 36 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=1701 protocol=tcp dst-port=1701 log=no log-prefix="" 37 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=4500 protocol=udp dst-port=4500 log=yes log-prefix="" 38 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=500 protocol=udp dst-port=500 log=yes log-prefix="" 39 chain=dstnat action=dst-nat to-addresses=192.168.111.3 to-ports=50 protocol=udp dst-port=50 log=no log-prefix="" 40 chain=dstnat action=dst-nat to-addresses=192.168.111.3 protocol=ipsec-esp log=no log-prefix="" Правила FW 18 chain=input action=accept protocol=ipsec-esp in-interface=first log=yes log-prefix="" 19 chain=forward action=accept protocol=ipsec-esp in-interface=first log=yes log-prefix="" 20 chain=input action=accept protocol=udp in-interface=first dst-port=50,500,1701,4500 log=yes log-prefix="" 21 chain=forward action=accept protocol=udp in-interface=first dst-port=50,500,1701,4500 log=yes log-prefix=""

я вот не знаю как основным конфигом, но для работы ipsec нужно открывать не 50/udp, а тип протокола 50 (ipsec-esp) который

ERROR: S client not available

а что это?

а работает вообще?

Ты определись, у тебя вопрос или ответ =)

выглядит - как будто НЕТ так работать не будет. Айпед не умееет по шнурку питать устройства.

Ты определись, у тебя вопрос или ответ =)

как lte свисток использовать айпад можно? зачем микрот питать)

выглядит - как будто НЕТ так работать не будет. Айпед не умееет по шнурку питать устройства.

смотря сколько устройство хочет, клавиатуры он некоторые заводит

как lte свисток использовать айпад можно? зачем микрот питать)

тогда я не понял в твою схему

смотря сколько устройство хочет, клавиатуры он некоторые заводит

там другой тип коннекта, имхо. Клавы всё таки иначе к нему подключаются не чисто как USB

смотря сколько устройство хочет, клавиатуры он некоторые заводит

Евгений. я только что в пояснении спросил.

mAP 2nD умеют работать со юзб модемами. а с айпадам можно?

я вот не знаю как основным конфигом, но для работы ipsec нужно открывать не 50/udp, а тип протокола 50 (ipsec-esp) который

Уже сказали что это нельзя реализовать.

Ваня говорил через андроид можно. а яблоко!?

там другой тип коннекта, имхо. Клавы всё таки иначе к нему подключаются не чисто как USB

а, ну может быть, картридеры некоторые через переходник usb работают

написан же, что pptp работает, как снаружи, так и извне, не?

Я так и не понял сути вопроса - запитать mAP от Яблока, что бы по вафле получить Ethernet который в mAP входит или что-то другое? (это не сканает - пушто питания не будет) Или вопрос про ОТДАТЬ Яблоко как USB модем чтобы в компе получить интернет? непонятно зачем - раздай вайфай и подключись с mAP

Жень, короч. просто блок питания со штекером. микрот через юзб от яблока. яблоко как юзб модем

Жень, короч. просто блок питания со штекером. микрот через юзб от яблока. яблоко как юзб модем

вот скорее всего не сканает, сделай линк через WiFi

ну это уже другой вопрос

есть еще вариант не через usb, а через переходник на эзернет

мне вот яблоко как модем использовать)

я правда не уверен, что яблоко сможет выступить в роли гетевея через езернет для мапа

Готов заказать кейс ( за деньги ): -Установка на виртуалку esxi ( виртуалку подготовим -белые/черные списки -группы юзеров -логи -подмена ssl сертификата на собственный

смогли разобраться с микротами, но керю не осилили? как-то странно... все что вы написали выше пилится за 1 час

смогли разобраться с микротами, но керю не осилили? как-то странно... все что вы написали выше пилится за 1 час

вероятно на Керио придётся таки оформить подписку, чтобы обновлять списки URL

насколько я понял. белые и черные списки уже известны. остается только разрешать и запрещать доступ по ним. или условия расписаны неполностью

керя на виртуалку ставится 5 мин, вру мин 2.

написан же, что pptp работает, как снаружи, так и извне, не?

Я это связываю с безопасностью самого l2tp/ipsec.

насколько я понял. белые и черные списки уже известны. остается только разрешать и запрещать доступ по ним. или условия расписаны неполностью

вот кажется там всё же ближе к DPI

Я это связываю с безопасностью самого l2tp/ipsec.

не понял

вкорячиваешь ее корневик на каждый комп и она расшифровывает https.