Ща пойду в почти час ночи с ибп пищащим и роутером по округе шариться ?

см http://ithappens.me/story/1770 история - моя.))

Ну с мобилы)

Ща пойду в почти час ночи с ибп пищащим и роутером по округе шариться ?

Ну 12 то вольт об АКБ возьми

у меня из-за этого куча пое инжекторов висело... а рядом сиска сб... с пое, еоторая в 48 не умеет.

Хм, вроде норм работает. Правда, у меня линксис

а помоему никто из vpn серверов кроме openvpn не умеет пушить маршруты и тд. для роадвариоров - самое то openvpn

Ipsec ike2 через mode conf умеет же вроде-бы

юзаю l2tp+ipsec, в критичных точках два провайдера, и по каждому каналу создан свой тоннель. Поверх всего этого работает ospf, он и обеспечивает быстрое переключение при падении.

Почему не ipip+ipsec? Оверхед же меньше, MTU выше

Ага, с вебмордой next-next-ok

Если туда воткнуть lede, то функционал равносилен тикам...

Почему не ipip+ipsec? Оверхед же меньше, MTU выше

потому что l2tp в случаях, когда ipsec не работает (за nat, итп) оставляет хоть какое-то шифрование

Ike2 работает через nat

L2tp - иллюзия шифрования

он же вроде не так давно появился. не успел освоить)

Осваивайте скорее)

Я весь ovpn на ike2 заменил

Прощай tcp

ну может и иллюзия, ломается всё, просто это быстрее. Но ipip - это вообще открытая книга. Даже tcpdump показывает разбор пакетов сходу :)

Привет аппаратное ускорение и мультиядерность

ipip должен идти исключительно через IPSec, если настроить правильно

вот кстати. С коннектами pptp/l2tp есть собирательное имя интерфейса all-ppp. Для ike2 есть такое?

Ломаться там нечему, ipsec полиси не даст пройти никакому трафику между двумя адресами без шифрования

мне показывает такие варианты: all-ethernet all-ppp all-vlan all-wireless

Interface-list тебе в помощь;)

динамические туда не включаются сами

Тогда адрес-лист

нууу...))))

это костыль

All-ppp - для ленивых)

ужасный костыль, причём.

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_Ikev2_RSA_auth

воу

All-ppp - для ленивых)

чо мелочиться? микротик для ленивых) суровые мужики выбирают длинк ?

Я ток сегодня запилил ike2 по сертификатам, зацепил айфон и макбук

Только не смог сделать гибрид rsa + xauth. В логах требование eap. Похоже придется радиус поднимать..

Я тут работу решил поискать на югах)

All-ppp - для ленивых)

у меня есть несколько роутеров, которые принимают коннекты с мобильных юзеров. В данный момент там настроены интерфейс-листы на постоянный список интерфейсов, представляющих коннекты между разными роутерами в сети. Мобильные клиенты цепляются по pptp и l2tp (предпочтительно с ipsec) и на них создаются динамические интерфейсы, правилами которых я рулю через all-ppp. Конечно можно на каждого создать по статическому интерфейсу, может оно и работало бы, но у меня юзеры не ограничены в количестве коннектов на ppp-пользователя. Так что без динамики не обойтись.

Кому интересно пошаговый ipsec ike2 для iphone/win/macbook - в личку

а может мануал гденибудь есть?

у меня есть несколько роутеров, которые принимают коннекты с мобильных юзеров. В данный момент там настроены интерфейс-листы на постоянный список интерфейсов, представляющих коннекты между разными роутерами в сети. Мобильные клиенты цепляются по pptp и l2tp (предпочтительно с ipsec) и на них создаются динамические интерфейсы, правилами которых я рулю через all-ppp. Конечно можно на каждого создать по статическому интерфейсу, может оно и работало бы, но у меня юзеры не ограничены в количестве коннектов на ppp-пользователя. Так что без динамики не обойтись.

Есть выступление на муме в милане 2017, найди на ютюбе

Там чел не рассказывал как генерил серты, а предлагал воспользоваться уже готовыми

+ ни слова про настройку файрволла

Согласен, что l2tp/ovpn удобнее. Ipsec ломает мозг из-за отсутствия понятия интерфейс:)

Самое простое начать с ike2 + pre-shared-key

Чтобы с сертами не мучаться

Самое простое начать с ike2 + pre-shared-key

Ике маки не умеют

Ике маки не умеют

сириозли?

Согласен, что l2tp/ovpn удобнее. Ipsec ломает мозг из-за отсутствия понятия интерфейс:)

вот именно поэтому с l2tp+ipsec легче) он динамически всё в ipsec создаёт для своей работы. В итоге без использования ipsec у меня буквально единичные коннекты по всей сети, и собственно именно поэтому я пока на этот вопрос забиваю

Только не смог сделать гибрид rsa + xauth. В логах требование eap. Похоже придется радиус поднимать..

тоже не получилось

но в случае потребности можно на что угодно переделать без даунтайма, по одному интерфейсу опускать не проблема, ospf разруливает.

тоже не получилось

Попробую радиус поднять- отпишусь

Ике маки не умеют

Серьёзное обвинение. Скорее андроиды))

Ике маки не умеют

именно поэтому на маках в сиерре и иос10 нет пптп и есть IKEv2?

Серьёзное обвинение. Скорее андроиды))

А сори. Или винда вроде иек не умеет

А сори. Или винда вроде иек не умеет

и винда как основной впн

поэтому тоже мимо

Уже? Я просто помню что что то кто то не умеет.

У винды какой то впн там есть свой

Уже? Я просто помню что что то кто то не умеет.

100 лет назад

У винды какой то впн там есть свой

какой?

там всё общеиспользуемое

Ну вот поставлю в виртуалку - гляну

Мак и линь у меня

Но в xp не помню ике

Но в xp не помню ике

вспомнил)

Ну я не юзаю богомерзкую

Ну я не юзаю богомерзкую

ты куда то выпал на 15 лет?)

Линукс и мак

ERROR: S client not available

Винда 8+ умеет ike2

Всем вечерочку

Может кто подсказать почему я не могу подцепиться к мтику по веб интерфейсу?

Ип адрес белый, в сервисах включено все

Это... ванга бухает

Ип адрес белый, в сервисах включено все

А фаерволл?

/ip service export /ip firewall filter export

/ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes

/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related tcp-flags="" add action=accept chain=input comment=pptp dst-port=1723 protocol=tcp add action=accept chain=input comment=pptp protocol=gre add action=accept chain=input comment="Allow DNS requests" in-interface=wan \ protocol=udp src-address=8.8.8.8 src-port=53 add action=drop chain=input comment="DROP DNS REQUESTS FROM NOT 192.168.0.0/16" \ src-address=!192.168.0.0/16

Дроп убери

По pptp могу подключаться а вот по веб сервису, ssh не могу, также не работает гре тунель

Для pptp надо grr

Дроп убери

Большое спасибо, видимо забыл поставить порт

Дроп убери

add action=drop chain=input comment="DROP DNS REQUESTS FROM NOT 192.168.0.0/16" \ dst-port=53 protocol=tcp src-address=!192.168.0.0/16 add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.0.0/16

Вот так правильно?

По pptp могу подключаться а вот по веб сервису, ssh не могу, также не работает гре тунель

/ip service enable ssh

здравствуйте, есть 2 роутера, что взять лучше ссылки ниже

https://mikrotik.ru/katalog/katalog/hardware/wifi_routers/wireless_soho/RB962UiGS-5HacT2HnT

https://mikrotik.ru/katalog/katalog/hardware/wifi_routers/wireless_soho/routerboard-2011uas-2hnd-in

Разные железки совсем. Что надо то?

задачи такие, 2000 квартир в тсж( срм наша, форум, и оповещения), 16 wi-fi устройств, телефоны, чайники, мультиварки, 3 компа, 1 сервер на котором срм, виртуалки мне для игр

по сути заменить pfsense хочу

Непотянет

Непотянет

печально, если не потянет, у меня сейчас комп с i5 старым и 2 сетевухами тянет

Rb1102ah

Бери

печально, если не потянет, у меня сейчас комп с i5 старым и 2 сетевухами тянет

Потянет

Оперативки яб докинул

ccr для таких брать нужно

печально, если не потянет, у меня сейчас комп с i5 старым и 2 сетевухами тянет

Сравнил палец и ж

2к клиентов... 1100x2 - минимум