не поленился, сконвертил vhdx в vhd и завел

ну ок, на земельный gw нельзя затерминировать?

чтобы он уже в облако гнал это

ээээ

ты имеешь в виду второй микротик взять?

у меня простая задача - я хочу 0.0.0.0/0 через ажур пустить

а бгп зачем ?

трафик на 0/0 пустить можно и без бгп

раз уж я пускаю весь трафик через ажур, я хотел сделать active-active шлюзы

да. но нельзя

для микротика мой CHR не является некстхопом

потому что у него нет раута не-интерфейсного

т.е. вот у меня есть моя локальная подсеть. и моя удаленная подсеть

на удаленную подсеть, пусть это будет 10.200.0.0/16, я добавил статический раут на мой локальный бридж (sic!)

моя локальная подсеть 10.100.0.0/22

вот там два этих раута в БРИДЖЕ ЛОКАЛЬНОМ сидят, тока один блин за 1000 км в амстердаме, а другой в москве

так и пишите что 10.200.0.0/16 via public_ip_2

а всё потому что 10.200.0.0/16 маршрутизуется ipsec ike2 магией

так и пишите что 10.200.0.0/16 via public_ip_2

unreachable

айписек то согласовался ваще?

с туннелем всё ок, всё рабоатет, всё пингуется

кароч, я сказать то чего хотел. оно не новое, туннельный айписек ваш. и как то наивно думать что например 10 лет такой концепции что вы хотите не было, а тут почему то оно появится

с туннелем всё ок, всё рабоатет, всё пингуется

пингуются паблик адреса друг друга?

vnet

блин, но у цисок-то tunnel interface есть, и bgp там работает

я хз как у джуниперов

че там еще есть

я прекрасно понимаю, что у меня задача с которой встречаются 0.01% пользователей

блин, но у цисок-то tunnel interface есть, и bgp там работает

нет там никаких tunnel interface на голом айписеке

ну вот я скинул доку https://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Cisco.html

! #3: Tunnel Interface Configuration interface Tunnel2 ip address 169.254.255.6 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.193 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdown exit

это я еще не говорю про тот факт, что микротик вроде до сих пор не умеет держать 2 active-active ipsec ike2 коннекта

https://forum.mikrotik.com/viewtopic.php?t=87844

ikev2 не так давно стабильно в принципе заработал на мт, но вы всё равно делаете не очень

не делайте на туннельном айписеке

это я еще не говорю про тот факт, что микротик вроде до сих пор не умеет держать 2 active-active ipsec ike2 коннекта

https://linkmeup.ru/blog/50.html

Какую самую главную проблему мы имеем тут? Бинго! Динамическая маршрутизация. Внедрить её в таких условиях невозможно – все IGP требуют прямого L2-линка между соседями, чего не обеспечивает IPSec. Поэтому в такой реализации трафик отправляется в туннель на основе ACL и карты шифрования, а не таблицы маршрутизации. Плюс мы имеем проблему с мультикастом, потому что задаём конкретные подсети в ACL.

да, я понимаю

Не претендую на пруфсорс, просто хорошее

нет, это абсолютная правда, прочувствованная на своей жопе

я считаю что это не проблема мт, и не проблема айписека, как вы поняли, почему и удивился что кто то ждёт в ближайших релизах что "ситуация изменится"

да, согласен

просто обидно что для реализации такой херни надо циску покупать, а всё из-за ажура

т.к. меня мой ccr1009 устраивает на 14600000000%

ну вот еще один камень могу кинуть - как через point to site IKE2 передать dns suffix / proxy / другие dhcp options ?

я так понял, что проблема состоит в том в данный момент, что вы на стороне Azure не можете принять ничего кроме IKEv2-like, например со стороны их коннектора, или от раутера на голом айписеке?

по сути да

единственный нормальный и поддерживаемый способ соединить site to site от ажура - IPSec IKE2

ну вот еще один камень могу кинуть - как через point to site IKE2 передать dns suffix / proxy / другие dhcp options ?

куда передать? зачем это передать?

ёмаё, айписек у него другие задачи

я понимаю что всем оч нра пушить всякое клиентам через впн

м, микротик чот не виноват

ладно

ладно

отличный повод соорудить какой нить not-Azure пойнт для подключения к Azure + немножко диверсификации

а-ля 2 хоста, первый что угодно, второй - вин с коннектором в тинант

имею openvpn сервер на ubuntu, в роли клиентов это пк, телефон, ноутбук и тд, т.е. обычные хосты, чтобы открывать заблокированные ресурсы. планирую поднять ipsec, он же тоже такую архитектуру поддерживает, когда есть много "клиентов" и у им каждого свой ключ или только одного клиента? и какую реализацию лучше использовать, strongswan или openswan?

имею openvpn сервер на ubuntu, в роли клиентов это пк, телефон, ноутбук и тд, т.е. обычные хосты, чтобы открывать заблокированные ресурсы. планирую поднять ipsec, он же тоже такую архитектуру поддерживает, когда есть много "клиентов" и у им каждого свой ключ или только одного клиента? и какую реализацию лучше использовать, strongswan или openswan?

да, strongswan

он ж так же поддерживает много клиентов как опенвпн? а то на цисках один ipsec - 1 клиент

да

Кому-нибудь удалось сделать реализацию Linux сервер ipsec/xl2tp и микрот клиент l2tp? Это никак не победить? xl2tpd[1768]: result_code_avp: avp is incorrect size. 8 < 10

Может кто подскажет оптимальный вариант VPN для сценария: Linux VPS со статическим адресом+микрот с динамическим (на постоянной основе)+андроид/иос устройства (периодически).

Пптп не предлагать?

Я люблю советовать Softether VPN

Пптп не предлагать?

ну если это чуть ли не единственный вариант..

Пожалуй только л2тп

Я люблю советовать Softether VPN

Интересное что-то. Оно только клиент или и сервер может?

ERROR: S client not available

Например сстп на линуксе?

Да, может

В Андрюше только л2тп нативно. Остальное программки.

Использование нескольких протоколов тоже не лишено смысла

Пптп на айос вроде отключили

Так что андроид - л2тп. Винда сстп

Айос хз

Использование нескольких протоколов тоже не лишено смысла

L2tp/ipsec для мобилок и ? для микрота?

У меня отлично работает

Правда с линухом не пробовал

Микрот клиент Линукс сервер на чем?

С телефоном пашет

Это без проблем работает

А попробуй вон писали

Интересная штука

Софтезер

Между микрот и линуксом опенвпн может?

Это кастыли. . Фу. На любителя

Софтезер

Не видел примеров. Может кто ткнет?

А не хочешь на своём линуксе виртуалку с микротом поднять

А не хочешь на своём линуксе виртуалку с микротом поднять

Это как это? Да еще и лицуха, видимо, понадобится?

А "чистый" ipsec linux mikrot не вариант?

А "чистый" ipsec linux mikrot не вариант?

Не пробовал

Это как это? Да еще и лицуха, видимо, понадобится?

Ну квм например. А лицуха есть на рутрекере)

И как этот монстр по производительности будет?

Ну это легко представить)

уже представилась безотрадная картина )

Пожалуй только л2тп

линуксу не нравиццо то, что микрот отдает в управляющих командах - надо не меньше 10-ти бит, грит (баг многолетний в гите висит).

Говорят 6.15 работает норм, но откатываться не айс

Ну а чистому ипсеку надо внешние статические ип

А низя заменить линух на микрот?

Ну а чистому ипсеку надо внешние статические ип

Скриптить вроде можно же, не?