он регистрирует, но делаю ping %hostname% - в ответ не знаю такого

а суфикс? указали?

в домашней сетке?

в домашней сетке?

а какже, изучайте вопрсо как работауют OC в доменными именами

либо в конце доменного имени ставте точку

если вы создали blabla на 192.168.15.14

то при обрачении к ресурсу используетй blabla. (точка на конце) однозначно определяет конец зоны

без точки, это значит адрес относительный

так разобрались с тунелем от туда меня видят, подскажите IPSec не где не отображается в интерфейсах?

а разве должен?

т.е как мне маршрут завернуть в тунель теперь тогда ?

странно, почему на микроте dhcp lease не регистрируются на dns?

lдак статика впомощь

т.е как мне маршрут завернуть в тунель теперь тогда ?

И вот тут возникает гемморой и танци с политиками =)

И вот тут возникает гемморой и танци с политиками =)

не разочаровывайте меня )

И то, о чем все просят микротик уже довольно давно - сделать ipsec как обычный интерфейс что бы применять политики роутинга

Кстати, есть у кого Cisca AS5300/AS5400 или Alcatel MAX?

на lucent между прочим аппаратный PPPOE.

точнее правила роутинга

и какой костыль мне тут сообразить можно?

Я наверно плохо искал, но ушел на l2tp и забыл про ipsec туннели как про страшный сон

и какой костыль мне тут сообразить можно?

Играть с маской сетей что на другом конце туннеля, хотя может гуру подскажут иное решение

на lucent между прочим аппаратный PPPOE.

всмысле

верю понимаю у самого везде l2tp + ospf но тут вдруг откуда не возьмись появилась цисочка

8 байт чипом дописывает?)

всмысле

ну как-то так. Карта какая-то вставляется, а проц дохленький

звучит странно

пппое вообще легкий протокол с минимальным оверхэдом

странно конечно но зачем тогда 12000 циски для pppoe покупаЛИ? а у кого люцент, те не покупали

Терминировать?)

Только CCR, только хардкор

и какой костыль мне тут сообразить можно?

Завтра подскажу рабочий конфиг IPSec Site-Sitr

ну у меня осталось чуть чуть, как бы я так понимаю маршрут

пля

ладно ща скину конфиги

буду премного благодаре

так разобрались с тунелем от туда меня видят, подскажите IPSec не где не отображается в интерфейсах?

так он же gre-туннель. у меня все отображается и зарулено без полиси

так он же gre-туннель. у меня все отображается и зарулено без полиси

ip-sec ? у меня в интерфейсах не отображается

ip-sec ? у меня в интерфейсах не отображается

ну типа да. не ходи на курсы - все будет получаться само) трафик шифруется вроде.

ну типа да. не ходи на курсы - все будет получаться само) трафик шифруется вроде.

агетация ?)

ipsec policy src-address=192.168.88.0/24 src-port=any dst-address=192.168.91.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=WAN1 sa-dst-address=WAN2 proposal=default priority=0

ipsec peer address=WAN/32 local-address=:: passive=no port=500 auth-method=pre-shared-key secret="safsdfd342dsde" generate-policy=port-override policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp768 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

ip firewall filter 2 ;;; Allow IKE/NAT-T for IPSec chain=input protocol=udp dst-port=500,4500 log-prefix="IKE/NAT-T" 3 ;;; Allow IPSec-esp chain=input protocol=ipsec-esp 4 ;;; Allow IKE/NAT-T for IPSec chain=output protocol=udp src-port=500,4500 log-prefix="IKE/NAT-T" 5 ;;; Allow ESP for IPSec chain=output protocol=ipsec-esp log-prefix="ESP" 6 ;;; Accept, when packet from internal net to internal net (between vlans) chain=forward src-address-list=Internal nets dst-address-list=Internal nets 7 ;;; defconf: accept established,related chain=input action=accept connection-state=established,related 8 chain=input action=accept src-address-list=Internal nets log=no log-prefix=""

address-list=Internal nets = подсетки к которым подключаешься

фаервол вообще для теста выключил

ip firewall nat 0 ;;; Does not touch IPSec ESP packets to avoid break packets checksum chain=srcnat action=accept out-interface=ether1 log=no log-prefix="NAT avoid" ipsec-policy=out,ipsec

ipsec policy src-address=192.168.88.0/24 src-port=any dst-address=192.168.91.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=WAN1 sa-dst-address=WAN2 proposal=default priority=0

да так же

зря

ipsec peer address=WAN/32 local-address=:: passive=no port=500 auth-method=pre-shared-key secret="safsdfd342dsde" generate-policy=port-override policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp768 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

тоже так же , взлетело работает

ip firewall nat 0 ;;; Does not touch IPSec ESP packets to avoid break packets checksum chain=srcnat action=accept out-interface=ether1 log=no log-prefix="NAT avoid" ipsec-policy=out,ipsec

а вот это щас попробую, ether1 это wan?

пинги не ходят из-за firewall ^_^

а вот это щас попробую, ether1 это wan?

у меня да

у меня првада IpSec между Mikrotik и Zyxel

и что-то не пойму как у вас трафик заворачивается в туннель

я так понял это делает firewall

и что-то не пойму как у вас трафик заворачивается в туннель

6 ;;; Accept, when packet from internal net to internal net (between vlans) chain=forward src-address-list=Internal nets dst-address-list=Internal nets

у меня првада IpSec между Mikrotik и Zyxel

у вас какой зюх? у меня usg 2000 и бывает пропадают sa, хотя обе фазы установлены, и траф не идет. иногда помогает только перезагруз микротика

у вас какой зюх? у меня usg 2000 и бывает пропадают sa, хотя обе фазы установлены, и траф не идет. иногда помогает только перезагруз микротика

Разные. Zywall 1100, 1000, 310

у вас какой зюх? у меня usg 2000 и бывает пропадают sa, хотя обе фазы установлены, и траф не идет. иногда помогает только перезагруз микротика

Подобных проблем не замечал. На 951 микроте 4 vpn с 310, 2 1100 и 1000 zywall

и что-то не пойму как у вас трафик заворачивается в туннель

насколько я понимаю, трафик никак не заворачивается в обычном понимании. для этого служит policy, роутер видит что пакет предназначен сети которая в политике указана, шифрует его и передает другому роутеру, а то в свою очередь расшифровывает и отдает по назначению.

но я даже удаленный роутер не вижу

а они от себя меня видять

Ага

Было такое

а как вы смотрите на удаленный роутер?

я вот с IPSec в чистом виде не работал, и читаю паралельно, пока в голове не укладывается принцип его чистой работы

Разные. Zywall 1100, 1000, 310

а на микроте какую прошивку используете?

а на микроте какую прошивку используете?

На тех 6.3 вроде. Слышал на новых ипсек переделали, не готов по ssh проводить эксперименты

и насчет нат траверсал, разве он используется когда у роутеров белые адреса? должно же и без него работать

у меня 6.40.3 изначально

у меня 6.38 щас обновится что ли

Я уже только завтра смогу подсказать. 00:30 ночи на дворе

у меня кстати на 6.38 не хотел работать ntp клиент

у меня 6.38 щас обновится что ли

У меня проблема с пингами решилась правилами firewall

ваще 6.37 и воуаля в 6.39 пишут правда что обновлено с ipsec

Без них пинги не ходили

а микрот случаем не с фаст трак ?

там тоже тонкость есть с этим

выключен фаст

хрен там...

аааааааааааа

потерял доступ к роутер

фак

ой не к добру это, ой не к добру ((

потерял доступ к роутер

К долгой дороге?

? бля, к забугорной...

цифрой в маршруте промахнулся, ) ну да ладно, завтра в офисе кто-то будет подправлю...

наверно )

потерял доступ к роутер

Сэйфмод, контрол-икс.

поздно уже об этом думать...

поздно уже об этом думать...

Не надо об этом думать это надо довести до рефлекса

блин, но с друго обьекта я вижу этот роутер, но проблема в том что на микротиках включет только winbox

ssh & telnet & web выключены

щас будем черз один офис стучаться в другой

)

через vpn к третьему

пошел вискарь достану, квест еще тот предстоит

вискарь — отличный помощник в таких делах )

вискарь — отличный помощник в таких делах )

Порткнокинг отличный помощник в таких делах :)