С появлением таблицы raw смысла заводить правила nat. Accept нет

Твоя школа) тогда почему натиться?

Хорошая схема тянуть туннель через лупбеки

Чтобы не ошибиться делай для лупбеков в raw notrack

Что-то вроде src=172.20.0.1 dst=172.20.0.2 action=notrack

В цепочке output

Я не понимаю почему если accept то прилетает два коннекта, я бы понял если бы натилось и был 1 коннект

Вопрос интересный, покажи эти записи!

Не могу пока, надо канал переключать, а из-за того что натиться ip телефония не работает, ибо там фаервол. Смогу только часов через 15 скинуть скрины с этой ситуацией

Вопрос интересный, покажи эти записи!

Хорошая схема тянуть туннель через лупбеки

Можно пояснить для не шибко шарящих? С картинками и на русском было бы зачётнее. Заранее благодарен

Картинок нет

Смотри

Туннельный ипсек

Что шифруется обычно?

Можно пояснить для не шибко шарящих? С картинками и на русском было бы зачётнее. Заранее благодарен

Как ты поднимишь туннель если у тебя клиент один за натом?

Что шифруется обычно?

Шифруется вроде все что от интерфейса до интерфейса

Я слабо шарю в этом направлении. Но был бы признателен за пояснения

Обычно шифруют локальные сети

Как ты поднимишь туннель если у тебя клиент один за натом?

Л2тп?

Л2тп?

Это очень дорого, так как заголовок большой

Обычно шифруют локальные сети

А я думал что шифруют как раз таки потенциально уязвимые - то бишь тунели через инет

Ибо зачем шифровать внутри своей сети, территориально расположенной в одной точке

Так и есть

Всем доброе утро У меня есть вопрос

Шифруют трафик между локальными сетями

Ибо зачем шифровать внутри своей сети, территориально расположенной в одной точке

Не написал слово между

Ребята что-то я не пон&имаю юмора совсем есть есть два routeros chr и 951 версия операционной системы 639. 2 на обоих на одном из них ikev2 работает нормально а на 951 туннель поднимается но во-первых внутреннего и ip нет во-вторых пакеты до сервера не идут Подскажите пожалуйста куда копать

Не написал слово между

Понял

Ребята что-то я не пон&имаю юмора совсем есть есть два routeros chr и 951 версия операционной системы 639. 2 на обоих на одном из них ikev2 работает нормально а на 951 туннель поднимается но во-первых внутреннего и ip нет во-вторых пакеты до сервера не идут Подскажите пожалуйста куда копать

Маршрутизация ?

Фиреволл

Так и есть

Окей, тут разобрались. Шифруют трафик между сетями.

Ребята что-то я не пон&имаю юмора совсем есть есть два routeros chr и 951 версия операционной системы 639. 2 на обоих на одном из них ikev2 работает нормально а на 951 туннель поднимается но во-первых внутреннего и ip нет во-вторых пакеты до сервера не идут Подскажите пожалуйста куда копать

Скорее всего проблема с натом

Ребята что-то я не пон&имаю юмора совсем есть есть два routeros chr и 951 версия операционной системы 639. 2 на обоих на одном из них ikev2 работает нормально а на 951 туннель поднимается но во-первых внутреннего и ip нет во-вторых пакеты до сервера не идут Подскажите пожалуйста куда копать

В цепочке построутинг повесь логирующее правило, и смотри какие ип бегают

Окей, тут разобрались. Шифруют трафик между сетями.

Если у тебя с одной из сторон нет публик ip

Маршрутизация ?

Если вы имеете в виду маршрутизацию внутри тоннеля ее нет Если вы имеете в виду маршрут до сервера то фаза 1 и Фаза 2 проходит нормально

Поднимаешь ipsec nat-t

Если вы имеете в виду маршрутизацию внутри тоннеля ее нет Если вы имеете в виду маршрут до сервера то фаза 1 и Фаза 2 проходит нормально

Давай по порядку

Если у тебя с одной из сторон нет публик ip

В обоих сторон белый

Какой тип туннеля?

Или чистый ipsec?

Какой тип туннеля?

ikev2

ikev2

Режим туннельный или транспортный?

Тональный

Тогда то что ты шифруешь пускай мимо контрака

В таблице raw src dst action=notrack

Также фастрек пока отключи, если включён

Я вот сейчас с казахами бьюсь над похожей ситуацией .. Тунель подымается .. Идут пакеты .. Но как заявляют казахи - пакет приходит без src адреса

Привет

Я вот сейчас с казахами бьюсь над похожей ситуацией .. Тунель подымается .. Идут пакеты .. Но как заявляют казахи - пакет приходит без src адреса

Как это?

Хз ))

Новый вид ip пакета?)))

И сам протокол блочит после

Точно Спасибо он же конфигурацию по умолчанию включён так вот почему у меня вчера слетел

Новый вид ip пакета?)))

Ну а че нам .. Разработали )))

Для того чтобы фастрек не мешал надо юзать рав

И там в 2-й версии ike защиту напилили от ddos

Вот на него все перехо

Переходят

Особенно банки

Поднимаешь ipsec nat-t

Эт как?

ERROR: S client not available

В смысле продолжаем или попозже?

отключил fasttrac маршрут во внутрь туннеля всё равно не поднялся

политика есть а маршрута нет

У меня таких два стоит, норм работают)

Доброго время суток. Подскажите пожалуйста. Имеется у Микротика, что либо годное SFP портои на 8+ с пропуском 10g на порт? В шкафчик серверный поставить да оптике их всех объеденить. Или лучше сразу смотреть в сторону других вендоров? :)

Полноценных 10G ни один микрот не даст пока к сожалению. Смотри на других .

Доброго время суток. Подскажите пожалуйста. Имеется у Микротика, что либо годное SFP портои на 8+ с пропуском 10g на порт? В шкафчик серверный поставить да оптике их всех объеденить. Или лучше сразу смотреть в сторону других вендоров? :)

слушайте а микротик сам должен маршруты прописать когда ipsec туннель поднялся?

Полноценных 10G ни один микрот не даст пока к сожалению. Смотри на других .

Ясно, Спасибо.

это магия на chr работает,а на еще 1м 951 нет,схема подключения такаяже как и у chr

Чуваки, у меня дома стоит mAP lite, к нему с работы поднимаю тунельчик l2pt c ipsec, чтобы погонять на домашнем компе лабораторные в eve. Но в этот момент, один товарищ который играет в Vainglory на планшете начинает жаловаться на rude pings (в игре отображается задрежка) и переключает на zyxel giga) в честь чего я удачно отваливаюсь) Проброс портов делать не хочу. Скажите, это будет удачным решением если я куплю GR3 и буду к нему поднимать тунель. а с mAP lite раздоваться инет?

настрой приоритизацию

ах... совсем забыл.. сейчас

профайлер?

ipsec жрет?

видимо

=(

поэтому мне кажется qos его вообще уронит

100 процентов

hex не все аппаратно обрабатывает в ipsec

а есть типа rb750GR3 но еще и с wifi?

Чуваки, у меня дома стоит mAP lite, к нему с работы поднимаю тунельчик l2pt c ipsec, чтобы погонять на домашнем компе лабораторные в eve. Но в этот момент, один товарищ который играет в Vainglory на планшете начинает жаловаться на rude pings (в игре отображается задрежка) и переключает на zyxel giga) в честь чего я удачно отваливаюсь) Проброс портов делать не хочу. Скажите, это будет удачным решением если я куплю GR3 и буду к нему поднимать тунель. а с mAP lite раздоваться инет?

проц сожран а сколько трафика прогоняешь?

ну не особо то и много. ну может 10?

нету вроде

Парни всем добрый день. Подскажите, есть ли какие то веб курсы бесплатные по микротику с 0 ?

ну не особо то и много. ну может 10?

mAP lite не шибко хорош по процу для айписек. с большой долей вероятности в этом и причина

может он не постоянно в полке, но на вайфай перфоманс геймера в игре влияет

mAP lite не шибко хорош по процу для айписек. с большой долей вероятности в этом и причина

так вот и хочу поставить GR3, норм?

поэтому мне кажется qos его вообще уронит

зареж свой айписек до 5 мб в секунду и посмотри, устроит такой расклад