Вот это пойми и все сложится ))

Это я понимаю. Не понимаю только, в построутинге, пакеты пришедшие из форварда, имеют свой in interface или нет?

Это я понимаю. Не понимаю только, в построутинге, пакеты пришедшие из форварда, имеют свой in interface или нет?

Возможно и имеют, но использовать это не возможно, по описанным выше причинам.

Ну, я понял, еще раз спасибо :)

Успехов в осознании packet flow ))

Дмитрий, приглашаем 11 октября в 19:00 отметить середину недели на борту "Сити-Блюз"! В комплекте к видам Петербурга: BrainBeering, фуршет и отличное настроение. Регистрация на beering.ru

☺

Дмитрий, приглашаем 11 октября в 19:00 отметить середину недели на борту "Сити-Блюз"! В комплекте к видам Петербурга: BrainBeering, фуршет и отличное настроение. Регистрация на beering.ru

@erazel ACHTUNG, SPAM!!!11

Ой

Промахнулся

Сорян

Ну бывает

Чо сразу спам

Эх Биринг

А кто подскажет, где я не прав? ПОставил на витртуалку RouterOS, не вижу в настройках Dude где включить доступ к нему по web

хм Userus Testus added User Puser

хм Userus Testus added User Puser

прям мантра на латыни)

@MobileRat Add @ParanoidModeDetected Я даже верю что это живые люди :) Слишком креативненько

Дядьки, не поможете?

Дядьки, не поможете?

Да спят ещё

https://www.youtube.com/watch?v=iVWQfFAyhZ0

Да спят ещё

Это прискорбно

А у кого-то обед через полчаса

А кто то с ночной домой скоро поедет

у большинства часовой пояс +3

Всем доброго времени суток! Добрые люди, подскажите, кто сталкивался с IPSec, есть сеть, 10.10.10.0/24, которая находиться за циско роутерами, было решено, давать им связь через туннель IPSec, внутреннею сеть 10.18.18.0/30. высланы параметры IPSec: PHASE 1 и PHASE 2 параметры шифрования и времени одинаковые Authentication Algorithm: SHA-1, Method: Preshared-Key, Encryption: 3-DES, Group 2 (1024-bits), Negotiation mode: Main, Lifetime Measurement 3600, Time Lifetime 86400. Encapsulation Mode: Tunnel в IPSec-Pees я прописал все данные, Remote-peers показывает соединение established. далее, в Policy , прописываю правила src-address=10.18.18.0/30 src-port=any dst-address=10.10.10.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=a.a.a.a sa-dst-address=b.b.b.b proposal=proposal_beeline priority=1 как я понимаю, IPSec шифрует пролетающтй трафик, вопрос в том, на каком интерфейсе мне поднимать внутренний айпи, и как мне роутить удаленную сеть?

яндекс карты не работают? или я с фильтрами намудрил?

открывается через раз

да не, это яндексу плохо

Всем доброго времени суток! Добрые люди, подскажите, кто сталкивался с IPSec, есть сеть, 10.10.10.0/24, которая находиться за циско роутерами, было решено, давать им связь через туннель IPSec, внутреннею сеть 10.18.18.0/30. высланы параметры IPSec: PHASE 1 и PHASE 2 параметры шифрования и времени одинаковые Authentication Algorithm: SHA-1, Method: Preshared-Key, Encryption: 3-DES, Group 2 (1024-bits), Negotiation mode: Main, Lifetime Measurement 3600, Time Lifetime 86400. Encapsulation Mode: Tunnel в IPSec-Pees я прописал все данные, Remote-peers показывает соединение established. далее, в Policy , прописываю правила src-address=10.18.18.0/30 src-port=any dst-address=10.10.10.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=a.a.a.a sa-dst-address=b.b.b.b proposal=proposal_beeline priority=1 как я понимаю, IPSec шифрует пролетающтй трафик, вопрос в том, на каком интерфейсе мне поднимать внутренний айпи, и как мне роутить удаленную сеть?

ipsec в туннельном режиме?

ipsec в туннельном режиме?

да

я понимаю, encapsulation mode: tunnel, это и есть режим туннеля, я просто никогда не сталкивался с ipsec, вот сижу туплю :)

А, вот как, циску ты настраивал? Там все правильно?

Всем доброго времени суток! Добрые люди, подскажите, кто сталкивался с IPSec, есть сеть, 10.10.10.0/24, которая находиться за циско роутерами, было решено, давать им связь через туннель IPSec, внутреннею сеть 10.18.18.0/30. высланы параметры IPSec: PHASE 1 и PHASE 2 параметры шифрования и времени одинаковые Authentication Algorithm: SHA-1, Method: Preshared-Key, Encryption: 3-DES, Group 2 (1024-bits), Negotiation mode: Main, Lifetime Measurement 3600, Time Lifetime 86400. Encapsulation Mode: Tunnel в IPSec-Pees я прописал все данные, Remote-peers показывает соединение established. далее, в Policy , прописываю правила src-address=10.18.18.0/30 src-port=any dst-address=10.10.10.0/24 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=a.a.a.a sa-dst-address=b.b.b.b proposal=proposal_beeline priority=1 как я понимаю, IPSec шифрует пролетающтй трафик, вопрос в том, на каком интерфейсе мне поднимать внутренний айпи, и как мне роутить удаленную сеть?

Создавайте ipip- интерфейс, на него адрес из /30

нет, до циски у меня доступа нет, выслали настройки, которые писал выше. фаза 1 и фаза2

Схемку сети нарисовать сможешь?

Схемку сети нарисовать сможешь?

да, сейчас

Не получится у него ipip сделать, только средствами ipsec роутить

С той стороны полиси в твою сеть настроен верно?

С той стороны полиси в твою сеть настроен верно?

ну я надеюсь, вопрос как мне правильно настроить полиси и прописать маршрут

Если с той стороны точно все в порядке, то присылай схему - посмотрим

Есть любопытная проблемка. Есть роутер rb941 (6.40.3), в локалке которого есть sip-клиент. Есть CHR, обслуживающий "виртуальную локалку", в которой есть штук 10 виртуалок, одна из которых - asterisk. Между этими роутерами есть прямой коннект через тоннель (l2tp). Работает ospf, маршруты корректно отдаются и эти локалки друг друга видят без всякого ната. Соответственно, клиент sip цепляется к астериску по внутреннему адресу. Наблюдаю странное поведение 941 роутера: при выключённом "sip" в "/ip firewall service-port" всё работает корректно, а если его включить - он при отправке пакетов в тоннель производит nat, присваивая им адрес отправителя, совпадающий с адресом на внешнем интерфейсе, смотрящем в интернет. Причём наблюдается это только в том случае, если клиент начал попытки соединения после загрузки роутера. Если при включённом клиенте перезагрузить роутер, всё окей. :) Есть какие-нибудь мысли о возможных причинах?

хап АС (не лайт) кто нибудь продает?(с рук, гуглить магазы умею)) в МСК/МСКобл. за нал/на карту

хап АС (не лайт) кто нибудь продает?(с рук, гуглить магазы умею)) в МСК/МСКобл. за нал/на карту

Есть

В лс

своё сообщение выше отредактировал, изначально сформулировал неверно.

Выглядит правильно все. Файрволл отключи и сделай исключения для nat

Для отладки

Скорее всего дело не в ipsec

Для отладки

я не понимаю как мне маршруты прописать, и правильно ли я настроил полиси

В sa есть сгенерированные ключи?

ipsec выполняет функцию маршрутизации в твоем случае

Если ты впервые с ipsec работаешь, то тут нет понятия vpn интерфейса как у ppp/ovpn

И нет понятия шлюз, через который можно что-то роутить

ipsec выполняет функцию маршрутизации в твоем случае

ну в ip route должен же показаться маршрут?

Весь роутинг в туннельном режиме настраивается через ipsec policy

ну в ip route должен же показаться маршрут?

Нет

Есть любопытная проблемка. Есть роутер rb941 (6.40.3), в локалке которого есть sip-клиент. Есть CHR, обслуживающий "виртуальную локалку", в которой есть штук 10 виртуалок, одна из которых - asterisk. Между этими роутерами есть прямой коннект через тоннель (l2tp). Работает ospf, маршруты корректно отдаются и эти локалки друг друга видят без всякого ната. Соответственно, клиент sip цепляется к астериску по внутреннему адресу. Наблюдаю странное поведение 941 роутера: при выключённом "sip" в "/ip firewall service-port" всё работает корректно, а если его включить - он при отправке пакетов в тоннель производит nat, присваивая им адрес отправителя, совпадающий с адресом на внешнем интерфейсе, смотрящем в интернет. Причём наблюдается это только в том случае, если клиент начал попытки соединения после загрузки роутера. Если при включённом клиенте перезагрузить роутер, всё окей. :) Есть какие-нибудь мысли о возможных причинах?

хелпер sip перезхватывает пакеты sip и работает как умеет )) и ни о каких тоннелях он не знает, перерабатывает все подряд в случае если соединение с сервером уже установлено, и была перезагрузка, сип клиент держит установленное соединение сколько то времени, прежде чем считать его разорванным и sip пакеты на согласования с сервером не пересылает, потому как считает что связь еще есть.

собсно sip хелперу не вмешаться в пакеты, потому как их нет )

хелпер sip перезхватывает пакеты sip и работает как умеет )) и ни о каких тоннелях он не знает, перерабатывает все подряд в случае если соединение с сервером уже установлено, и была перезагрузка, сип клиент держит установленное соединение сколько то времени, прежде чем считать его разорванным и sip пакеты на согласования с сервером не пересылает, потому как считает что связь еще есть.

так вопрос в том, нафига он заменяет в них адрес отправителя на адрес с другого интерфейса))

так вопрос в том, нафига он заменяет в них адрес отправителя на адрес с другого интерфейса))

реализация странная ) рекомендую выключить и забыть как страшный сон

так и сделал в итоге)

но забавно блин

ERROR: S client not available

сколько хелперов sip не видел - никто не работает нормально )

в нескольких других конфигах всё спокойно работает

в нескольких других конфигах всё спокойно работает

вангую что там нет тоннелей

нет, как раз есть)

минимум 2 живых примера

а, вот это удивительно тогда

клиентские роутеры только другие, но не думаю, что это влияет

хм. погоди. сип хелпер назначет адрес внешного интерфейса он так и должен работать

так он не наружу его отправляет, а в тоннель

так он не наружу его отправляет, а в тоннель

кто, он?

ну, не хелпер, да. Роутер. В соответствии с таблицей маршрутизации

адрес астериска серый в локалке, принадлежит виртуалке, работающей по соседству с CHR.

формально это локалка, которая обслуживается routeros на chr.

не, нафиг нафиг )

не работает и фиг с ним ))

?

конечно можно решить и разобраться. но нафига? ))

раньше в локалке за 941 было два sip клиента, один из которых цеплялся к серверу в интернете, и вот там хелпер был нужен

@erazel ACHTUNG, SPAM!!!11

LOL, ты о бирингах не слышал? ?

в общем-то пофиг конечно, просто думал, вдруг кто заинтересуется :) но вижу, что лучше забить насовсем )))

раньше в локалке за 941 было два sip клиента, один из которых цеплялся к серверу в интернете, и вот там хелпер был нужен

в первый раз слышу про кейс где бы sip хелпер бы комуто помог

говорят, можно астериск настроить, чтобы никаких хелперов не надо было. Но это не моя задача)

что бы не надо было хелперов надо тунели юзать ?

не надо

А ты вообще молчи, двухроутерный телефонист ?

мы с тобой это уже год назад мусолили. тоже самое мне доказывал

Антон, это же у тебя было два роутера последовательно и нерабочий SIP

я ща вообще за тремя роутерами и все работает отлично

надо было просто таймаут udp повысить

Ты бы еще напомнил как всё решилось ?