вангую, что петлю ловит

Dropping NETIF_F_UFO since no NETIF_F_HW_CSUM feature

если к этому репитеру подключиться не через вай-фай, а по кабелю, то работает все более чем бодро только создаем виртуальный интерфейс, тогда вот и ловит глюк этот

И, всё-таки, продолжу про списки блокоровки. Если заводить в список по fqdn сайты, то так не всегда получается. Такой способ не понимает wildcard'ы

https://www.meetup.com/St-Petersburg-Mikrotik-Meetup/events/245554967/

А на некоторых ресурсах меняется ip, в который ресолвится. Значит, у записи должен быть какой-то TTL.

Господа, есть у кого взлетевший кейс с примером куска конфига S2S GRE over IPSec by certs?

если к этому репитеру подключиться не через вай-фай, а по кабелю, то работает все более чем бодро только создаем виртуальный интерфейс, тогда вот и ловит глюк этот

выкинь дир300

Господа, есть у кого взлетевший кейс с примером куска конфига S2S GRE over IPSec by certs?

Что во что хочется завернуть?

Что во что хочется завернуть?

так и пишу вроде что во что

GRE Tunnel protected by IPSec AH Transport Mode; GRE Tunnel protected by IPSec ESP Transport Mode; GRE Tunnel protected by IPSec AH Tunnel Mode; GRE Tunnel protected by IPSec ESP Tunnel Mode;

Это всё разные позы

Зачем транспорт защищать туннельным режимом?

Тут вопрос, как ипсек с сертификатами поднять, остальное – тлен

а мт умеет в авторизацию по сертификатам?

помнится овпн делал... только пассворд было

Мне на днях так и не удалось поднять ovpn с сертификатами

а в чём там сложность то? настраивается же вроде бы элементарно по сертификатам.

Хотя, на linux делается без проблем

Поэтому, про сертификаты на MT ничего комментировать не буду

Делал.

На ASA всё работает.

Сейчас за рулем, потом расскажу

Работает овпн по сертам

Сейчас за рулем, потом расскажу

Было бы интересно знать правильную последовательность приседаний.

Да, и можно ли push'ить маршруты на клиента?

Да, и можно ли push'ить маршруты на клиента?

С мт нет.

сорян, на телефон отвлекли

Это всё разные позы

я же написал, сайттусайт гре овер айписец

это уже как бы наталкивает

Тут вопрос, как ипсек с сертификатами поднять, остальное – тлен

да, вот это, как остальное делать мне не интересно

т.е. в существующий ipsec запихать ещё GRE

а в чём там сложность то? настраивается же вроде бы элементарно по сертификатам.

не получается даже 1 фазу пройти

т.е. в существующий ipsec запихать ещё GRE

Это наименьшая проблема

Было бы интересно знать правильную последовательность приседаний.

Генерим серт СА, затем серт сервера, затем по серту на клиента. Клиенту ставим серт СА и его собственный. В настройках сервера указываем серт сервера, у клиента в настройках подключения указываем имя серта.

В общих чертах всё

Может мелочь какую упустил, но основная канва вот

Ну я так и делал

Делал.

у тя есть подсмотреть это? чтобы не пск?

Кстати, есть в MT какая-то ручка чтобы посмотреть слушает ли сервис нужный порт, а то сложилось впечатление, что он вообще не взлетел.

у тя есть подсмотреть это? чтобы не пск?

Не, уже давно ушел от овпн

Генерим серт СА, затем серт сервера, затем по серту на клиента. Клиенту ставим серт СА и его собственный. В настройках сервера указываем серт сервера, у клиента в настройках подключения указываем имя серта.

ну я икев2 делаю также, но с2с у меня не взлетает

Не, уже давно ушел от овпн

я же не про овпн спра

не получается даже 1 фазу пройти

надо убедиться что всё верно описано в policies и выбрано верно в proposals

ну я икев2 делаю также, но с2с у меня не взлетает

У меня икев2 тож не взлетел ни разу.

У меня икев2 тож не взлетел ни разу.

я думал ты про с2с гре овер айписек бай сертс

Не. Овпн.

надо убедиться что всё верно описано в policies и выбрано верно в proposals

всё чотка и в пропосалах и в полисиз

я чот не так делаю по части именно сертов

пск у меня работает

всё чотка и в пропосалах и в полисиз

обычно не согласовывает 1 фазу и выдаёт в логах - no valid proposals. если это не так, то какой вывод в логах? чтобы осознать.

обычно не согласовывает 1 фазу и выдаёт в логах - no valid proposals. если это не так, то какой вывод в логах? чтобы осознать.

про пейлоад ругается с одной стороны, про несогласованную фазу1 с другой, сейчас к сож пока не могу на тот сайт цепануцца

но я до 4 утра его мучал

опять в одной из точек GRE перестал ходить. что у них там творится в психическом континууме?

опять в одной из точек GRE перестал ходить. что у них там творится в психическом континууме?

у кого у них?

у кого у них?

у рептилоидов

каждый месяц где-нибудь ломается GRE

каждый месяц где-нибудь ломается GRE

у меня годами всё стабильно

у меня годами всё стабильно

надо подключить больше точек

надо подключить больше точек

ну у меня больше, если мы про п2п

ну у меня больше, если мы про п2п

надо подключить больше точек под контролем рептилоидов!

аааа, ясн

ERROR: S client not available

так бы сразу и сказал что скрытая ачивка

подскажите, MikroTik mAP 2n может питаться от USB порта?

Да

У него порты poe

питание от poe?

нет, от усб

Он питаться от poe и раздовать по poe

то что питается и раздает poe понятно, вопрос был о возможнсти питания от USB, чтобы в полевых условиях запитать от повербанка

Легко

скорее всего нет - на УЗБ нет специальных контактов а если бы и были - то там 5В, что не годится для ПОЕ

да и токи у УЗБ ограничены

Питается.

По юсб работает, только пое не будет питаться

нужно только MikroTik mAP 2n запитать от USB, он ничего питать не будет хочу заменить mAP lite, не хватает на нем одного изернета

Я его через отг от телефона вообще запитывал

понял, спасибо

Отличный девайс

на винде выдаёт "ошибка на уровне безопасности при согласовании с удал компьютером"

https://mikrotik.ru/katalog/katalog/components/kabeli-i-razemy/injectors_poe/planlka_poe

ребят кто видел сей девайс ?

или использовал

8-ми портовый инжектор

так чо не купишь в магазе?

или использовал

Используем иногда аналоги. Хорошая вещь.

ребята, я кажется понял почему у меня Ipsec тунели отваливались по утрам. у меня в настройках пиров стояло генерировать политики. и наверно когда трафа не было, и срок sa выходил, когда фазы переустанавливались, тунель поднимался но sa не создавались, тк не генерировалась политика. сейчас сделал вручную политику, понаблюдаю

ну я икев2 делаю также, но с2с у меня не взлетает

всё, разобрался, без пассфрейс не формируется же .key

Привет, парни подскажите, не очень шарю с firewall. Что в моей конструкции не правильно? Интернет статика, с роутера пингуется, но с компа нет, где ошибка в firewall?

tracert с компа до удалённого узла делал?