Господа

Для нормальной безопасности микротика дома надо лезть дальше квиксета?

Конечно

да

Задача в том, чтобы летом купить ац квадрат, поставить его и из камнемета максимально быстро и без ебли ввести в работу

А потом уже потихоньку донастраивать

Например запретить конекты из вне на сам микротик

это всё по дефолту будет

Например запретить конекты из вне на сам микротик

А, ну это я примерно знаю, как сделать

Интернет у меня через dhcp заходит

Так что, думаю, на первое время квиксета хватит

я сначала поставил его в домашнюю сеть в кач-ве клиента за NAT (уже настроенный роутер) и ковырялся, так как ни в микротиках, ни в iptables не рубил почти

как вариант - до покупки поставить бесплатную лицензию на виртуальный микрот и ковырять его.

Разочарую

Я до текущего конфига рос два (!) года

А вы тут про квиксет какой-то

Я до текущего конфига рос два (!) года

Поделись тайным знанием

Поделись тайным знанием

reply proxy на аплинк прова, вланы, бондинги...

а что такое reply proxy? proxy arp имеется ввиду? я всегда считал что до него не растут, а деградируют)

а что такое reply proxy? proxy arp имеется ввиду? я всегда считал что до него не растут, а деградируют)

Ну а какие варианты?

Просить у прова bgp?

Как иначе /29 анонсить?

Ну а какие варианты?

я не знаю что там у тебя сделано, как и почему

Просить у прова bgp?

в общем случае это лучше. траблшутинг будет легче

в общем случае это лучше. траблшутинг будет легче

Ну наверное это так. А то сейчас они для меня держат в облаке фряху с каггой

Целый айпишник сжирается...

Ну наверное это так. А то сейчас они для меня держат в облаке фряху с каггой

ну так проси бгп или оспф)

надеюсь в нем будет ike2 ipsec как интерфейс?

это как это?

Очень надеюсь тоже.

на что?

т.е. не было оно тыщу лет интерфейсобразующим, а теперь модное молодёжное и вам понадобился айписец как интерфейс?

имею openvpn сервер на ubuntu, в роли клиентов это пк, телефон, ноутбук и тд, т.е. обычные хосты, чтобы открывать заблокированные ресурсы. планирую поднять ipsec, он же тоже такую архитектуру поддерживает, когда есть много "клиентов" и у им каждого свой ключ или только одного клиента? и какую реализацию лучше использовать, strongswan или openswan?

т.е. не было оно тыщу лет интерфейсобразующим, а теперь модное молодёжное и вам понадобился айписец как интерфейс?

на серьезных раутерах оно интерфейсолбразующее

на серьезных раутерах оно интерфейсолбразующее

это например каких?

например у меня не работает iBGP over ipsec ike2

например у меня не работает iBGP over ipsec ike2

ну так естесственно. чему удивляетесь?

тому, что на циске работает

даже на эджраутере работает

тому, что на циске работает

на какой циске на голом айписеке работает динамическая маршрутизация?

на любой?

это например каких?

в IOS tunnel interface

на любой?

а если подумать?

e.g.

https://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Cisco.html

https://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/images/detailed-cisco-ios-diagram.png

ну я хз, на любой нормальной с IOS?

я не разбираюсь в цисках, но после ебли с микротиками и active-active IKE2 BGP сетапом с Azure понимаю, что походу стоит купить

так, похоже опять девопсятина облачная пошла

я не разбираюсь в цисках, но после ебли с микротиками и active-active IKE2 BGP сетапом с Azure понимаю, что походу стоит купить

вот с этого и надо было начинать

так а по существу? почему в цисках tunnel interface есть, а в микротиках нет?

неужели никогда не возникало вопроса "а зачем там внутри айписека еще что то бегает"?

я примерно понимаю ответ, потому что IKE2 реализован ядром

и в целом туннельный айписек который вы хотите использовать с2с - считаете отличной идеей?

ну это задокументированное поддерживаемое решение для AWS / Azure / GCP, поэтому да

я примерно понимаю ответ, потому что IKE2 реализован ядром

чего чего?

ну это задокументированное поддерживаемое решение для AWS / Azure / GCP, поэтому да

а еще это есть из коробки на айфоне, осх и вин. Но это еще не значит что на этом голом строить с2с - бестпрактис

а на чем лучше? DirectConnect? ExpressRoute?

да ёп

чо нить кроме azure у вас есть?

или вся экспертиза только в нём?

нет

да. у нас только ажур

неужели то, что делает амазон с динамическим раутингом и s2s - это прям антипаттерн?

то что облака любят коннекторы на этом - еще не значит что это нарм для с2с

да, согласен. просто у всех одинаковое всё, поэтому кажется, что это прогрессивно и правильно

но по криптографии же и вцелом протоколу IKE2 же в топе

ERROR: S client not available

вы же сами уже испытываете сложности с динамической маршрутизацией

но по криптографии же и вцелом протоколу IKE2 же в топе

кто спорит то

ну, если бы был интерфейс туннель, было бы просто. BGP я быстро настроил и понял чо куда ( в нужном приближении). а когда получаю маршруты, они уходят не туда

потому что моя удаленная подсеть маршрутизируется какой-то магией

я кароч не ною. просто пойду и куплю циску, не особо проблема. просто обидно

за родину, за микротик

я кароч не ною. просто пойду и куплю циску, не особо проблема. просто обидно

почему решили что на циске это будет работать?

и почему решили что это вообще должно работать?

индийцы из ажуровских сетей помогут ?

и почему не можете в какой то из хостов в ейжур принимать тот же гре овер айписек?

терминировать на него, а далее уже куда у вас там, експрессфорвадинг или что то другое

прекрасный вопрос. Они блочат GRE и IP in IP

я пробовал )

в итоге кароч рабочим решением выглядит такое:

они блочат внутри внетов

ipsec s2s mikrotik -> azure vnet

что логично, им же нужно продавать

да там копейки

че там продавать

не циски же

экспресс раут вот космос стоит

а мой gw 10к рублей

кто вам запрещает терминировать соединения на одну из ВМ на которой CHR?

так она тоже в VNET

и там тоже gre не работает

на самом деле не пробовал через public ip пускать, да

стоит попробовать

но у меня завелся EoIP over L2TP over IKE2 IPSec

омг

еще MPLS для ВЯЗКОСТИ добавить и норм будет

но чую, что GRE over azure pub ip тоже не заведется, это ж все равно vnet

у VM нет коннективити вне VNET по сути