а что за камеры и что за рег?

Нет

Понял

а что за камеры и что за рег?

Хиквижн

может вопрос в "можно ли пробросить доступ до вебморды регистратора имея доступ к тику"?

Чтоб его запустить и зайти на веб морду нужного устройства в той сети

Пробрось порт до веб порта устройства и подключайся по внешнему айпи + проброс порта

Вчера 1 камеру прошил, норм стала пахать

Пробрось порт до веб порта устройства и подключайся по внешнему айпи + проброс порта

Это я знаю, так проблема в том, что там шмылинк адсл

И к нему не могу по вебморде соединиться

Сбрасыаается

Сделай впн сервер, подключи микрот как впн клиент, настрой маршрутизацию.

Свой комп как впн клиент

Настрой маршрутизацию

Сделай впн сервер, подключи микрот как впн клиент, настрой маршрутизацию.

У них статики нету

У них статики нету

Use sstp

А при динамике отвал постоянный

Пробьет нат

Use sstp

Т.е. Проброс не нужен???

Т.е. Проброс не нужен???

Если нужен, то опять же, упор в шмылинк, который не правильно пашет

Если нужен, то опять же, упор в шмылинк, который не правильно пашет

Точнее пашет по принципу: главное инет есть

Т.е. Проброс не нужен???

Исходящие соединения со стороны микротика как впн клиента - поднимут тоннель. Настрой маршрутизацию чтобы правильно ходил трафик.

И тогда не нужно пробрасывать порты

Точнее пашет по принципу: главное инет есть

Слушай. А если порты не пробрасываются, то как ты микротом управляешь?

Ранее настроено

А щас перестал пускать

Те порты которые я раньше настроил, работают

А доступ к микроту есть?

Да

Сколько портов туда проброшенны?

ssh есть?

А доступ к микроту есть?

И некоторым камерам

ssh есть?

Нет

Только порт винбокса

И некоторым камерам

А микрот в качестве default gatawey у камер?

Но, могу у себя поднять, а тот клиентом сделать

А микрот в качестве default gatawey у камер?

Нет. Бриджи

Sxt sa5

Нет. Бриджи

А кто ?

Офис-обьект

Кто роутер то в сети?

Кто роутер то в сети?

Тплинк тд8840т

К нему доступ есть?

Тплинк тд8840т

Выкидывать нету полномочия

К нему доступ есть?

Был, сейчас сбрасывается. Выше писал

есть подозрения что кривая во всем ios11 кривая и тут)

https://www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec/ Почитайте. Поиграйтесь с PFS group в Proposals. Попробуйте none либо modp 2048

Не нашёл я ту статью, которую хотел, но там тоже с PFS группами играли

https://www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec/ Почитайте. Поиграйтесь с PFS group в Proposals. Попробуйте none либо modp 2048

спасибо за труды, сейчас испробую

Был, сейчас сбрасывается. Выше писал

Могу предложить адище )) Как временное решение.

Нужно будет два внешних адреса. На микроте к которому имеешь доступ, сделать правило которое натит запросы от определенного внешнего айпи пришедшие на порт винбокса в порт ssh

С этого айпи строишь ssh тоннель указывая порт винбокса, + внутренний айпи камеры и 80 порт

Работаешь с камерой

Закончил, положил тоннель, поднял тоннель, переключился на другую камеру

Два внешних айпи нужно чтобы не уложить себе доступ в винбокс, если вдруг ошибёшься с настройкой нат

А ещё лучше попроси teamviewer и восстанови доступ к рутеру. Если это возможно, конечно.

Коллеги. Кто нить переводил site2 multi-site на ike2 ?

Коллеги, хелп

Ребята, а кто-нибудь знает пропускает ли тегированный трафик телефоны d-link 150se F3?

Коллеги, хелп

Помочь материально или морально?

Есть chr, на него был получен триал ключ три месяца назад Спустя пол года куплена лицензия Пробую сделать renew и привязать купленный ключ и получаю сообщение, что ид протухло и все такое

Во всех ключах нету этого устройства

Есть chr, на него был получен триал ключ три месяца назад Спустя пол года куплена лицензия Пробую сделать renew и привязать купленный ключ и получаю сообщение, что ид протухло и все такое

Было такое, не нашел решения, поднял с нуля, накатил конфиг и сделал лицензию уже нормально

Окно маленькое для обслуживания и очень ночью

Окно маленькое для обслуживания и очень ночью

у меня 30 секунд даунтайма было.) большой потребности в этом не было, но было интересно, получится ли. С chr удобство в том, что это же виртуалка, ничто не мешает поднять в дубль такую же, просто подключать сетевые интерфейсы к другим системным бриджам, а настраивать через консоль. К моменту переключения всё будет полностью готово, останется новый отключить, подключить куда надо сетевые интерфейсы, а затем одновременно старый отключить и новый включить. И даунтайм будет равен времени загрузки.

Мешает, что дома компа нету ))

https://www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec/ Почитайте. Поиграйтесь с PFS group в Proposals. Попробуйте none либо modp 2048

все работало похоже и так , при создании впн соединения на телефоне под айоэс выбирал ipsec и не обращал внимание при выборе что появляется лого циски а там XAuth+PSK как понял, можно поидее настроить и IPSEC pre-shared-key-xauth хотя зачем если и через l2tp по той статье и так идет шифрование

просто невнимательность, может кому то поможет, при созднии соединения на айфоне не надо выбирать ipsec, просто нужно выбирать L2TP которое и так подразумевает ipsec в статусе при соедниее на микротике видно что оно работает - cbc(aes) + hmac(sha1) возможно ошибаюсь, попроавьте если что.

просто невнимательность, может кому то поможет, при созднии соединения на айфоне не надо выбирать ipsec, просто нужно выбирать L2TP которое и так подразумевает ipsec в статусе при соедниее на микротике видно что оно работает - cbc(aes) + hmac(sha1) возможно ошибаюсь, попроавьте если что.

Почему бы не сделать сразу ike2 ipsec?

ERROR: S client not available

Яндекс у всех сломался ?

Почта

Который поддерживает nat итп

Не могу зайти

у меня работает

Не могу зайти

Http не открывается, https открылся

Почему бы не сделать сразу ike2 ipsec?

так а надо ли? оно надежнее? возрастет нагрузка на цпу? всего один телефон и с работы конекчусь для доступа в домашнию сеть, т.е. максимум 2 клиента

так а надо ли? оно надежнее? возрастет нагрузка на цпу? всего один телефон и с работы конекчусь для доступа в домашнию сеть, т.е. максимум 2 клиента

Я тоже:) для макбука и телефона

О открылся

На цпу нагрузка не возрастет, чуть MTU сократится

Не вижу смысла не использовать, если у тебя кнеш не андроид

К муму запилю статью пошаговую в картинках по ike2

Вижу, что мало кто тут в группе осилил

опять чего то в конфиг лезть - делать, искать гайды, что то лень) я не пойму cbc(aes) + hmac(sha1) маловато?) я спрашиваю ибо не силен в этом

Вижу, что мало кто тут в группе осилил

Я осилил, но не понял его…

Работает. Но через ике2 не все сайты с компа открылись. Я уж и мсс уменьшал, не помогло

На андроид тоже придётся корневой серт импортировать?

Андроид не умеет нативно ike2

Только через strong swan

Я все понял, все отлично работает. Все клиенты проходят (тик, ios, mac, win)

Можно без серта по psk

Работает. Но через ике2 не все сайты с компа открылись. Я уж и мсс уменьшал, не помогло

Настрой на голом тике без файрволла для начала

Я все понял, все отлично работает. Все клиенты проходят (тик, ios, mac, win)

я правильно понял, что во всех перечисленных клиентах есть нативный ike2 ?

Да, но с оговоркой на винду: 7+

Вру, 7 тоже умеет

Да, но с оговоркой на винду: 7+

подскажи плз, а с сертификатами как решал проблемы? покупной?

В смысле покупной??

самоподписанты инсталлировать не интересно )

Свой CA разворачиваешь как с ovpn

иииии

на клиенты то как доставлять?