но сделали с другом такой тунель. в айписеках светились внешние айпишки почему то

но сделали с другом такой тунель. в айписеках светились внешние айпишки почему то

с обеих сторон белые ип?

угу

тогда зачем л2тп?

для тестов

а

чисто проверить как работает Л2ТП Айписек

не, у этих 1 белый, а второй серый... соотвссна л2тп

а между белыми GRE+IPSEC делаю обычно

ну я щас спрашиваю чисто в теории, что бы иметь четкое представление как оно работает

я не снифал, не смотрел

могу и ошибаться

но в теории... там ж ты делаешь профиль л2тп... просто указываешь, что шифровать над ипсеком

да и серый за натом > белый ип как будет работать если оно сначала ипсек подымает?

да вот так же думал что айписек поверх Л2тП идет, но почему тогда светяттся внешние айпишки. надо будет при случае заснифать трафик и глянуть

да вот так же думал что айписек поверх Л2тП идет, но почему тогда светяттся внешние айпишки. надо будет при случае заснифать трафик и глянуть

вот мне тоже непонятно

по идее если Л2ТП ОВЕР айписек

то сначала айписек сессия

а потом внутри уже л2тп

да и серый за натом > белый ип как будет работать если оно сначала ипсек подымает?

кстати так тоже делали, работало. у друга(белая айпишка) светилась моя внешняя айпишка, а у меня на втором роутере(поднимал с него, стоит за основным роутером) моя внутреняя айпишка.

надо смотреть что в полисях

и пирах

ну можно будет потом поднять между точками такое и поснифать. постараюсь такое сделать через часок-другой и выложу снифинг

вообще по идее у айписека есть нат траверсал

на случай белый - серый

может быть это и есть причина почему иногда тупой л2тп работает, а л2тп/ipsec - хер

вообще по идее у айписека есть нат траверсал

вообще можно серый > белый порты пробросить, например

может быть это и есть причина почему иногда тупой л2тп работает, а л2тп/ipsec - хер

не встречался с таким

йота тупая, мтс за натом

хз

йота тупая, мтс за натом

в йоте можно, но не на yota many

в чем разница? ?

yota many вашпе оч странный девайс

у него нет настроек проброса портов

в штатной прошивке

причем судя по форумам оно было... в более ранней, но сильно глючило... и йота не долго думая решила эту проблему )))

А вообще выключить Nat в ней нельзя?

в ней нат байдизайн

портфорварда нету

с кастомными проивками не заморачивался

у йоты есть еще один девайс... yota one или как там он ща зовется

там впринципе делать ниче ненад, там 1:1 nat байдизайн

тыкаешь в микротик и вобщем-то все...

А вообще выключить Nat в ней нельзя?

выключить низя

а где вы берете микротики? покупаете где?

сравнить цену интересно с тем что мне на месте предлагают

lanmart

я в xcom-shop обычно

а где вы берете микротики? покупаете где?

микротик.рф, НАГ, микротик.спб.ру (они же spw.ru вроде)

а если L2TP/IPSec и поверх уже EoIP, мне кажется более менее защищенный вариант. Нет?

мне люди ранее говорили, что если на обоих хвостах белые айпи, то L2TP — чрезмерность.

хотя я ваашпе мало представляю зачем надо именно EoIP делать

Из-за очень(!) редкого требования свыше — свести две удалённые точки в одну локалку, причём ту, которая использутся на основном офисе. Если бы не это — ipsec туннель, как везде.

Из-за очень(!) редкого требования свыше — свести две удалённые точки в одну локалку, причём ту, которая использутся на основном офисе. Если бы не это — ipsec туннель, как везде.

А просто по айписек - это не локалка ???

Что за !? Или тебе прям связность по l2 надо ?

видимо да

и в логах эти разрывы тоже видны

в принципе ничего критичного, но мой внутренний перфепохуист немношк негодует

вопрос: это норма?

в принципе ничего критичного, но мой внутренний перфепохуист немношк негодует

а если мту поменьше сделать?

даже точнее mss на syn

тут?

нед

сек

ERROR: S client not available

собсна необязательно именно такие цифры, это я к живому роутеру подрубился с плохим каналом

а чего такое MSS и зачем его менять?

эм...

тут кагбэ надо ртфм немного

Что за !? Или тебе прям связность по l2 надо ?

угу. я уже вокруг них не первый месяц пляшу вприсяд, чтобы они отказались от этого решения.

а чего такое MSS и зачем его менять?

Макс Сегмент Сайз

аналог MTU но конкретно для ТСР

кто нибуть тестировал 3011, там же от каждого свитча до проца шина по 2 гигабита, например если сделать бондинг между двумя портами в одном свитче, и бондинг между двумя в другом свитче, сколько смодет трафика пропустить через себя микротик?

а чего такое MSS и зачем его менять?

Незашифрованный L2TP поверх IP L2TP это полезный_TCP -> IP -> PPP -> L2TP -> UDP -> IP -> Ethernet Для Ethernet MTU=1500; заголовки IP -20 байт, заголовки UDP -8 байт, заголовки L2TP -16 байт, заголовок PPP -2 байта. Итого, MTU=1500-20-8-16-2=1454; MSS=MTU-40=1414 L2TP поверх IPSEC L2TP поверх IPSEC это полезный_TCP -> IP -> PPP -> L2TP -> UDP -> ESP -> IP -> Ethernet Получается то же самое, что и пункт 2, за вычетом размера заголовков ESP -20 байт. Итого, MTU=1454-20=1434; MSS=MTU-40=1394

аналог MTU но конкретно для ТСР

ага, уже нагуглил, спс

Комбинация туннелей GRE + IPsec (транспортный режим) 1440 байт Требуемое значение MTU 1400 байт Рекомендуемое значение MTU GRE + IPsec (туннельный режим) 1420 байт Требуемое значение MTU 1400 байт Рекомендуемое значение MTU

Незашифрованный L2TP поверх IP L2TP это полезный_TCP -> IP -> PPP -> L2TP -> UDP -> IP -> Ethernet Для Ethernet MTU=1500; заголовки IP -20 байт, заголовки UDP -8 байт, заголовки L2TP -16 байт, заголовок PPP -2 байта. Итого, MTU=1500-20-8-16-2=1454; MSS=MTU-40=1414 L2TP поверх IPSEC L2TP поверх IPSEC это полезный_TCP -> IP -> PPP -> L2TP -> UDP -> ESP -> IP -> Ethernet Получается то же самое, что и пункт 2, за вычетом размера заголовков ESP -20 байт. Итого, MTU=1454-20=1434; MSS=MTU-40=1394

во! клево распедалил! благодарю

MSS чтобы роутер можно твои пакеты по 1500 разбивал на 1300( допустим), и он свободно прошел чере MTU L2TP поверх IPSEC (1434) а не дробился, не понятно как

а это только на серворе надо менять?

и на клиенте

У миротика на самом деле не все сладко с ipsec + l2tp.. иногда приходтся играть с MTU и MSS

ясн

точнее сказать MSS будет не резать, а соглосовывать размеры пакетов

он в пакетах подменяет значение мсс

А про MTU если MTU маленькое маршрутизатор будет дробить пакеты согласно размеру MTU

а самое ужасное это l2tp+ ipsec и поверх него eiop

причем не в пакетах подменяет, а в syn пакете подменяет

у одного товариа сейчас все плохо

хотим перейти на VPLS

ужос

мплс поверх л2тп позволяет фрагментировать л2 пакеты незаметно для клиента, и передавать через узкие по мту каналы

на послежнем муме человечек хвалился Организация удаленного доступа в локальную сеть посредством MPLS - Дмитрий Кузнецов (IP Kuznetsov, Россия)

впн это слажна

http://mum.mikrotik.com/presentations/RU16/presentation_3770_1476016760.pdf

тот что не смог ответить в чем приемущество мплс в от еоип