Будет site2site или клиентские подключения тоже нужны?

пока без клиентов. 2 тика, сервер с белым ип

оба не за NATом, верно?

клиент за натом. интернет со смартфона по вайфай.

коннект сегодня был, но пропал.

Тогда речь не о site2site.. Если без заморочек то самое простое на микроте-сервере поднять l2tp\ipsec. На микроте клиенте l2tp клиента соответсвенно. Делается в несколько команд

- name: Add l2tp_pool /ip pool add name=l2tp_pool ranges=пул адресов vpn клиентам - name: Add PPP profile /ppp profile add local-address=IPизVPNподсети name=l2tp_profile remote-address=l2tp_pool - name: Add l2tp server /interface l2tp-server server set default-profile=l2tp_profile enabled=yes ipsec-secret=addpskkey use-ipsec=yes authentication=mschap2 - name: Add firewall rules ipsec-esp /ip firewall filter add action=accept chain=input protocol=ipsec-esp comment="L2TP Server" disabled=no place-before=1 - name: Add firewall rules udp /ip firewall filter add action=accept chain=input dst-port=1701,500,4500 protocol=udp disabled=no place-before=1

вот пример самый простой

+ добавляете маршрут в нужные подсети

Тогда речь не о site2site.. Если без заморочек то самое простое на микроте-сервере поднять l2tp\ipsec. На микроте клиенте l2tp клиента соответсвенно. Делается в несколько команд

я знаю как это делается. туннель не поднимается, нет входящих на серверный тик

туннель был и пропал. где-то что-то поломалось или пров откусил 1701 мне

туннель был и пропал. где-то что-то поломалось или пров откусил 1701 мне

легко вообще. они регулярно забывают что кроме TCP и UDP есть еще протоколы. ууу, кровопийцы.

кто-нить киньте чтонить по udp 94*19*209*244 % 1701

кто-нить киньте чтонить по udp 94*19*209*244 % 1701

user@server1604:~$ nc -vz -u 94.19.209.244 1701 Connection to 94.19.209.244 1701 port [udp/l2f] succeeded!

user@server1604:~$ nc -vz -u 94.19.209.244 1701 Connection to 94.19.209.244 1701 port [udp/l2f] succeeded!

у меня по нулям

ни шевеления на порту ни коннекта на л2тп

что за нах?

А теперь?

пытаюсь слать хрень

тишина. пров чудит чтоль?

а сейчас подцепится?

во, полетели

правило в NAT было

с тика тишина

а как (без скриптов) можно пакет из тика плюнуть?

подключился.... ничего не менял. скачал на телефон терминалку, кинул пару пакетов, зашел на клиентский тик, а он коннектед и пинг до сервера идет. что это было то?

на микротике настроен хотспот/дальше идет юнифай/ там открытая сеть и при попытке подключения к фай фай возникает ошибка не удалось подключиться так как не удалось устоанвить безопасное соединение/ решение искать на микротике или юнифай?

нет идей?

- name: Add l2tp_pool /ip pool add name=l2tp_pool ranges=пул адресов vpn клиентам - name: Add PPP profile /ppp profile add local-address=IPизVPNподсети name=l2tp_profile remote-address=l2tp_pool - name: Add l2tp server /interface l2tp-server server set default-profile=l2tp_profile enabled=yes ipsec-secret=addpskkey use-ipsec=yes authentication=mschap2 - name: Add firewall rules ipsec-esp /ip firewall filter add action=accept chain=input protocol=ipsec-esp comment="L2TP Server" disabled=no place-before=1 - name: Add firewall rules udp /ip firewall filter add action=accept chain=input dst-port=1701,500,4500 protocol=udp disabled=no place-before=1

не работает такая связка.

У Вас не работает.. А вообще это копипаста с рабочего плейбука

л2тп перестает коннектится если отметить Use IPsec

на клиенте

/export конфига ppp клиента и сервера.. без конфига и логов это вилами по воде

SERVER /ppp profile add change-tcp-mss=yes local-address=172.16.0.1 name=vpn-l2tp remote-address=pool-vpn-l2tp use-encryption=yes /ppp l2tp-secret add address=192.168.1.0/24 secret=****** /ppp secret add local-address=172.16.0.1 name=login password=****** profile=vpn-l2tp remote-address=172.16.0.2 service=l2tp /ip ipsec mode-config add address-prefix-length=32 name=cfg-vpn system-dns=no /ip ipsec policy group add name=ipsec-group /ip ipsec proposal add name=prop-vpn /ip ipsec peer add address=0.0.0.0/0 dh-group=modp1024 dpd-maximum-failures=3 enc-algorithm=aes-256,aes-192,aes-128 generate-policy=port-strict secret=***** /ip ipsec policy set 0 disabled=yes add dst-address=10.0.0.0/24 sa-dst-address=172.12.0.2 sa-src-address=172.12.0.1 src-address=192.168.1.0/24 tunnel=yes /ip ipsec user add name=login password=*****

CLIENT /ppp profile add change-tcp-mss=yes local-address=172.16.0.1 name=l2tp-enc remote-address=\ pool-vpn-l2tp use-encryption=yes /ip ipsec peer add address=172.16.0.1/32 dh-group=modp1024 dpd-maximum-failures=3 \ enc-algorithm=aes-256,aes-192,aes-128 exchange-mode=main-l2tp \ generate-policy=port-strict secret=***** /ip ipsec policy set 0 disabled=yes add dst-address=192.168.1.0/24 sa-dst-address=172.16.0.1 sa-src-address=\ 172.16.0.2 src-address=10.0.0.0/24 tunnel=yes /ip ipsec user add name=login password=*****

BOGON ! Где то я читал что это бесмысленая настройка в фаерволе

вот тут http://mikrotik.vetriks.ru/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%8D%D0%BA%D1%80%D0%B0%D0%BD:%D0%9B%D0%B6%D0%B5%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B8_%D0%B8_%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8_%D0%BF%D1%80%D0%B8_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B5_%D1%84%D0%B0%D0%B9%D1%80%D0%B2%D0%BE%D0%BB%D0%B0

BOGON ! Где то я читал что это бесмысленая настройка в фаерволе

Трафик режет, значит не бессмысленно

может это легитимный трафик

Может. Меня не напрягает

Товарищи, прошу помощи, есть задача, на каждом компе кто использует 1с в файле hosts прописать srv-1c 10.0.15.51 , подскажите, может можно как-то в dhcp серверне прописать опцию что бы она транслировала настройку маршрутизации или я ошибаюсь?

на микротике настроен хотспот/дальше идет юнифай/ там открытая сеть и при попытке подключения к фай фай возникает ошибка не удалось подключиться так как не удалось устоанвить безопасное соединение/ решение искать на микротике или юнифай?

Ssl нужен наверно)

не в dhcp, а скорее в dns

не в dhcp, а скорее в dns

прописывал в статик dns не помогло

какие dns-сервера используют те компьютеры?

какие dns-сервера используют те компьютеры?

дело в том что в компании 2 домена, и постепенно все с старого переходят на новый

На dns сервере создать A запись srv-1c 10.0.15.51.. На клиентах убеждаемся что основной dns это наш dns сервер и (в случае windows) ipconfig /flushdns

дело в том что в компании 2 домена, и постепенно все с старого переходят на новый

Добавить нужную запись в оба.

сейчас буду пробовать

Приветствую всех!

Сейчас обновил 960PGS до 42.6 и после рестарта увидел сообщение, что частота ЦПУ не является штатной для данной модели. Посмотрел: 900 МГц вместо 800МГц. Сам не менял (в упор не помню, т.к. в этом ни разу не возникала необходимость): могло ли при обновлении неверно выставиться частота?

ну допустим могла) Я у себя на минимум руками ставлю частоту

нестрашно уж

Почему минимум?

на RB951G выставилось в дефолт, на ас2 осталось как было

чтобы не грелось)

да и просто

пунктик такой)

У каждого свой "пунктик". ?

как называется такой хостинг когда ты сам покупаешь и настраиваешь оборудование но физически чтобы оно стояло не утебя и за интернетом к нему и за подачей энергии следили другие люди

ERROR: S client not available

Аренда датацентра какая-нибудь

colocation

Аренда датацентра это сильно...

Аренда датацентра это сильно...

И дорого наверно)))

dedicades server

колокол это когда свое оборудование в стойке

от 4к за 1u

колокол это когда свое оборудование в стойке

ну так он и хочет сам купить железо и разместить в датацентре

зависит от уровня дата центра и его политики

Сори верно

какой город?

Размещение сервера 1U (ДЦ Дубровка) 2,200 ₽

первая выдача гугла

Народ. Если в нете конфигураторы конфигов микротика? Типа сколько у вас ванов ланов пароль вафай и тд.

?

winbox

изи тюн в винбоксе не предлагать

про все остальное я и так знаю

Я не его предлагаю. Открыть нужное окошко не проблема

Или идея подсунуть его домохозяйке, типа далее, далее, далее, готово?

хорошая идея

можно

ansible называется например

но действительно, хорошо бы у микротика в конфиге по умолчанию было что то типа туннеля до какого то сервака микротика

ну типа как тимвивер

Зачем?

тот жевопрос

Народ. Если в нете конфигураторы конфигов микротика? Типа сколько у вас ванов ланов пароль вафай и тд.

квиксет

чтобы тащмайор проверил что настройки корректны

чтобы тащмайор проверил что настройки корректны

можешь в кремлб отослать бакап там проверят