народ. Есть SXT Lite5. Прив ключении пищит 1 раз, сетевая карта загорается, через секунд 10 - сетевой кабель не подключен. На выброс?

Сначала нетинсталл

Ipsec, строго говоря, это задача "инкапсулировать и отправить с внешнего IP на внешний IP"

Сначала нетинсталл

а как нет инстал, если сетевая карта его не видит через 10 секунд после включения?

Ipsec, строго говоря, это задача "инкапсулировать и отправить с внешнего IP на внешний IP"

Я понимаю.

А как мне тогда маршруты передать? Ни с одной стороны они не connected, они везде статические через серые же адреса

Ну вот, создаете полиси. Bgp- пиром указываете внутренний ip в удаленной сети

Представьте, что пакет "телепортируется" с помощью ipsec

Попробую.

В полиси мне нужны адреса тех интерфейсов асы/микротика, за которыми серые сети. Так?

Иногда приходится в свойствах пира указать "мультихоп"

Гре овер ипсек собрать, и о нему уже гонять все что хочется

Гре овер ипсек собрать, и о нему уже гонять все что хочется

Аса не умеет терминировать гре.

Так бы уже давно или гре или ипип поднял

Да. В полиси указывается ИЗ какой и В какую сеть пакеты обрабатывать (признак как в фаерволе) и куда отправлять с какого src-ip

Ок, попробую

Спасибо

Еще один. Аса не умеет.

Ipsec, строго говоря, это задача "инкапсулировать и отправить с внешнего IP на внешний IP"

Неправда.

Неправда.

Это очень упрощенно, для человека осваивающего сие чудо.

Фраза должна была выглядеть не "строго говоря", а наоборот "упрощенно говоря"

Да. В полиси указывается ИЗ какой и В какую сеть пакеты обрабатывать (признак как в фаерволе) и куда отправлять с какого src-ip

/ip i po a sa-src-address=<EXTIP> sa-dst-address=<EXTIP_ASA> src-address=<LOCAL_NET> dst-address=<ASA_NET_0> Ну и такую хрень для каждой сети c обеих сторон.

Фраза должна была выглядеть не "строго говоря", а наоборот "упрощенно говоря"

Telegram умеет редактировать сообщения в течение 48 часов после отправки.

Да, но как-то не приучен "задним числом" свои ошибки прятать

Модераторы видят все изменения за последние 48 часов.

Это очень упрощенно, для человека осваивающего сие чудо.

Тогда и "внешний" убрать стоит.

Ну, как я понял, у человека как раз связь через внешние адреса строится.

В большинстве случаев как раз два интерфейса на роутер фигурируют, один из которых внешний по отношению к локалке.

Это вообще не имеет никакого значения. Адрес, просто адрес пира. Никаких ни "внешних", ни "внутренних".

Это уже у более матерых админов шифрование внутри сети предприятия применяется. Но они уже обычно таких вопросов про ipsec не задают - давно проходили

Это вообще не имеет никакого значения. Адрес, просто адрес пира. Никаких ни "внешних", ни "внутренних".

Вот.

Это вообще не имеет никакого значения. Адрес, просто адрес пира. Никаких ни "внешних", ни "внутренних".

Ага. Только я однажды видел заLoopленный конфиг, где адресом пира указывали интерфейс в подсети, трафик которой в полиси значился как подлежащий щифрованию.

Да легко! И будет всё прекрасно работать.

Если это routable адреса

Так бы уже давно или гре или ипип поднял

https://supportforums.cisco.com/t5/vpn/ios-tunnel-mode-ipip-same-as-asa-ipinip/td-p/1919541 А что за "ipinip"?

Нет, это не имеет значения. Подумай ещё.

Имеет. Если один пир "серый", а другой "белый", то к "серому" non routable трафик таки не дойдет. А подвергнутый нату будет отброшен ipsecом

При чём тут "серый", "белый"?

Ага. Только я однажды видел заLoopленный конфиг, где адресом пира указывали интерфейс в подсети, трафик которой в полиси значился как подлежащий щифрованию.

Я тебе об этом.

Если там есть связность - не вижу ничего необычного в конфиге.

Ок. Если сеть не связная - нет роутинга до адреса, то как ipsec между этими адресами пиров поднимется?

Внутрь еще одного ipsec только впихнуть. Матрешкой.

А никак. И связность != маршрутизация.

К чему ты вообще приплёл маршрутизацию? Речь шла об использовании адресом пира адрес из сети, которая идёт в SA.

Вы про L2 и любимый proxy-arp, чтотли?

Так, короче мы друг друга не поняли

Видимо я на ночь глядя излагаю недоходчиво для некоторых

Ага. Только я однажды видел заLoopленный конфиг, где адресом пира указывали интерфейс в подсети, трафик которой в полиси значился как подлежащий щифрованию.

Допустим, есть удалённая сеть 172.17.13.0/24. Не имеет значения, каким именно образом, но эта сеть доступна. Тебе нужно её запихать в ESP. Но адрес пира - 172.17.13.13, ок. И? В чём сложность запилить это? Что тебя удивляет в таком конфиге?

Особой сложности действительно нет, если в полисях не намудрить по первости.

Я ж и имею ввиду , что люди, которые только разбираются с этим счастьем как раз и спрашивают и делают типичные ошибки. Тем, кто один раз разобрался особо спрашивать не о чем.

Особой сложности действительно нет, если в полисях не намудрить по первости.

Я уже :) вместо шаблона запилил готовую полиси с 0/0 в src и dst

Вооо ?

Пришлось на консоль ломиться к тику, благо CHR :)

Особой сложности действительно нет, если в полисях не намудрить по первости.

Для данной конфигурации вообще никакой сложности нет. Просто перед сетью вписывается ещё одна политика, в которой указываешь: 172.17.13.13 пропускать без обработки. Ты просто написал о таком озалупленном конфиге так, как будто это нечто невероятное и прекрасное, но на самом деле оно простое, очень.

Если конкретный протокол по номеру без обработки. Что правильнее. Иначе коммуникации между пирами будут открыты.

Можно и так. Один хрен - добавить перед основным исключение.

Это нам теперь - простое. А начинающие как всегда по граблям гуляют.

Это еще хорошо, что в микротике многое визуально видно сразу в соседнем окошке.

Облегчает вхождение

Ansible.

Интересно, реально юзаете эту штуку на сети? Сколько девайсов?

Это нам теперь - простое. А начинающие как всегда по граблям гуляют.

Разве это не очевидно любому, кто: 1. знает о широко применяемом правиле первого совпадения; 2. знает, что такое политика в IPsec? Если не знает - я бы такого к настройке не допускал. Смысла нет - потом бегать в мыле и переделывать.

Хм. Мсье - идеалист. Тут в некоторых конторах 1Сники сети настраивают. У эти-то такого "насисадминят" обычно ?

Что ж, говно эти конторы.

Деньги не пахнут. Иногда из них получается очень неплохо извлечь. После 1Сников ?

Одна из самых часто встречающихся фраз оттуда: "а нам (Вася 1Сник) говорил этого нельзя никак сделать"

ERROR: S client not available

Интересно, реально юзаете эту штуку на сети? Сколько девайсов?

Я не пользую, но и сложности не вижу. Для работы этой SCM ведь только SSH-сервер необходим на узле, которым жонглируешь.

Одна из самых часто встречающихся фраз оттуда: "а нам (Вася 1Сник) говорил этого нельзя никак сделать"

Бухгалтеры и ошивающиеся рядом - самое страшное (и средний род не просто так), с чем можно столкнуться.

Не соглашусь. Самое страшное - это ебанутый директор такой богодельни.

Если дир неадекват - помочь нечем.

Ну не знаю. За все время, сколько админил, встречались 1с-ники-энтузиасты. В рамках компетенции естественно. Редко слышал от них: "это невозможно!".

Воот. Ключевая оговорка "в рамках компетенций". Когда юноше 1Снику директор сначала поручает собрать сервер под 1С, потом подключить сеть, потом "сисадминить" за "доплату 10тыщ", поначалу всё гуд. Но только по началу.

Внезапная задача "подключить второго провайдера и сделать бесперебойный интернет, а то первый провайдер задолбал" и "чтобы само переключалось" вводит типичного 1Сника в шок. Он глядя на dir-300 изрекает "это невозможно"

*пример чуть утрирован, все образы собирательны, все совпадения случайны.

да нет почему? вполне реальная ситуация.

Внезапная задача "подключить второго провайдера и сделать бесперебойный интернет, а то первый провайдер задолбал" и "чтобы само переключалось" вводит типичного 1Сника в шок. Он глядя на dir-300 изрекает "это невозможно"

Должностные инструкции изучать не учили?

Далее, если в конторе есть таки денежки, что они делают? Думаете нанимают админа? Нет! Они идут к интегратору. Тот им говорит, купите ASA 5510 с расширенной лицензией - у нее есть failover.

Должностные инструкции изучать не учили?

Насмешил. Их в таких конторах НЕТУ

Нет слова "нету" прежде всего. Ну и повторюсь - говноконторы. С сотней человек штата и панибратством, чо.

Обычный российский средний/малый бизнес. Не столичный.

Тут даже ДМС оформить много где - проблема. А в столице вполне распространенная "плюшка"

Из федеральных провайдеров нормальное SLA только у одного

Остальные "чё? Какая сла?!"

Должностные инструкции изучать не учили?

не каждый руководитель небольшой конторки ее понять сможет. а остальным по бубну все.

Это всё понятно. Я о том, что говноконторы стороной обходить нужно.

ну это ты как поработавший понимаешь. а у юниора по сути и выбора то не бывает зачастую

Так сейчас же всяких аутсорсеров развелось - гребёшь себе и гребёшь. Да, своего дерьмеца есть, но там хотя бы погроммист картриджи менять не будет, например. А берут туда и обезьян без опыта.

согласен, это лучший вариант для начинающих. но бабла много не поднимешь.

если конечно не готов пахать 24/7

а в свободное время развиваться

Да в мелкой конторке что, больше дадут?

ммм.. есть время развиваться

Но на некоторых галерах ведь тоже. Ещё и план дадут, что учить.

Вы пофлудить хотите? это есть у меня

натюрлих. однако рост будет конкретно направленный.

с какого перепугу такая загрузка проца на 100 мегабитах ФЕСТТРЕКНУТОГО трафика ?