"просто делаем впн" не подходит по причине того, что не всегда и не везде просто впн работает

Ну сделай дстнат.. Но это нехорошо..

ну и есть иные методы. Просто вот столкнулся и заинтересовался

еще немного сложностей с 6-кой, как правило хост выходит в инет со временного адреса, который меняется

dstnat куда и откуда?

поэтому в адрес лист нужно прописывать как минимум /64

ну так это как минимум /64 динамически выдается провайдером

dstnat куда и откуда?

Перечитал ещё раз вопрос, никуда не надо дстнат.

У товарища динамический ип на пограничном микротике, он использует noip-сервис и всё у него хорошо.

А почему впн не всегда работает?

l2tp-ipsec не работает, если два клиента за одним натом - нормальная ситуация для сотовых операторов например. pptp не всегда работает, потому что gre режут, ну и в сотовых сетях оно такое. sstp в сотовых сетях плохо работает, потому что tcp

скажем так - я знаю, как обойти проблему, но все эти решения мне не кажутся красивыми.

скажем так - я знаю, как обойти проблему, но все эти решения мне не кажутся красивыми.

Как?

в ipv4 у меня тупо адреслист с разрешенными ip, и это просто и красиво и работает.

ну как - вон впн подсказали. Порт-нокинг я и сам уже придумал. )

vps со статикой и с неё ходить

Я сам пользую л2тп+йписек с телефона, а если виндовая машина то любой впн с неё. А на мике всегда впн-сервера включены.

))) Не ну хорошее решение vps со статикой, окей )

Я сам пользую л2тп+йписек с телефона, а если виндовая машина то любой впн с неё. А на мике всегда впн-сервера включены.

вот если у вас будет два клиента с одного оператора - то может у одного из них не сработать

Не сработать подключить к впн-серверу? В общем мне это не нужно, т.к. доступ нужен только мне :))

ну, если вы единственный впн-клиент - то конечно.

Ну с опсоса скорее всего я буду один если надо что сделать, все остальные с нормальных провайдеров подключаются ..

Тут видите в чем дело, я из опыта эксплуатации знаю, что "скорее всего" означает, на само деле, "вероятно нет". И это вероятно нет сработает в самый неподходящий момент.

Короче, динамический ipv6 зло. А статический дорого)

Ну с опсоса скорее всего я буду один если надо что сделать, все остальные с нормальных провайдеров подключаются ..

понимается, из-за одного и того же провайдерского ната. В случае с опсосом, только опсос знает, сколько будет желающих поднять ipsec

всем надо будет раздать 500 порт на одном публичном адресе

Можно сделать pptp(l2tp) и в нём ipsec в туннельном режиме

ну кстати вариант, но такое. l2tp over ipsec умеет любой клиент, а вот наоборот уже сложнее.

вот тут вроде умные люди собрались. объясните, почему именно внутри ипсека нужен л2тп?

ипсек есть - уже достаточно

чтобы роутить

иначе получается 2 публичных адреса на концах ipsec

и что дальше? Как завернуть нужный траффик через второй конец?

писать статические маршруты?

проблемак только в маршрутах?

А так появляется ещё один интерфейс lt2p-out1, для которого пишем 1 маршрут 0.0.0.0/0 и манглом туда, что требуется

ок

ипсек это равноправный протокол

ну а иначе для чего это всё? Если эти два конца - ваши домашние подсети, то достаточно на каждом шлюзе прописать маршрут до другой сети

каждый и сервер и участник

да

и нужно прописать на каждом адрес другого учатника

а у нас один клиент, второй сервер

я так-то не сетевик, и, думаю, многие могут объяснить более развёрнуто

и как на сервере прописывать второго учатника если он по сотовым сетям ходит

мне это видится так

Друзья есть недорогие vps/vds где без проблем установить chr? Подскажите самые бюджетные варианты

т.е. с динамическим ип

Друзья есть недорогие vps/vds где без проблем установить chr? Подскажите самые бюджетные варианты

Arubacloud

и как на сервере прописывать второго учатника если он по сотовым сетям ходит

а тут сначала поднимается l2tp(pptp), клиент получает приватный адрес, и между этим его прив.адресом и прив.адресом сервера настраивается Ipsec

Это называется туннельный режим

Arubacloud

Там вроде только на pro возможна установка из iso

можно без ISO

а тут сначала поднимается l2tp(pptp), клиент получает приватный адрес, и между этим его прив.адресом и прив.адресом сервера настраивается Ipsec

тогда это уже ипсек внутри л2тп

из img скачанного прямо внутрь vps

и как на сервере прописывать второго учатника если он по сотовым сетям ходит

а в чем проблема-то? дефолтное полиси используется, да и всё

тогда это уже ипсек внутри л2тп

я так его и называл, пока меня не поправили, сказав, что это называется туннельный режим ipsec

а тут сначала поднимается l2tp(pptp), клиент получает приватный адрес, и между этим его прив.адресом и прив.адресом сервера настраивается Ipsec

как вот это быстро сделать на win10.

а в чем проблема-то? дефолтное полиси используется, да и всё

какое дефолтное полиси если второй учатник неизвестно с какого адреса подключится?

какое дефолтное полиси если второй учатник неизвестно с какого адреса подключится?

ну, l2tp over ipsec работает чудом что ли?

из img скачанного прямо внутрь vps

Это как? Подскажите куда смотреть

по моему опыту такой ипсек можно поднять, но только один раз (в настройках адрес второго участника 0,0,0,0)

в инструкциях для strongswan, кстати, попадалось, right=%any. То есть, без разницы, какой адрес на другом конце.

Видимо, как раз для динамического клиента

ну, l2tp over ipsec работает чудом что ли?

конечно не чудом. просто хочется подробностей доступным для меня языком

Это как? Подскажите куда смотреть

https://habr.com/post/312292/

https://habr.com/post/312292/

Спасибо)

ERROR: S client not available

Видимо, как раз для динамического клиента

это будет всего один клиент

ну вот тут я пас. Я вообще сторож.

"ой всё"

вопрос в требуемом уровне безопасности, в принципе. Меня и pptp устраивает, чтобы DNS-запросы гонять не через провайдера

а почему именно l2tp/ipsec с винды? openvpn тоже хорош. Или сервер - микротик ?

Тут вот говорят про ikev2 для виндов https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_Mode_Conf

конечно не чудом. просто хочется подробностей доступным для меня языком

http://mikrotik.vetriks.ru/wiki/VPN:L2TP_%D0%B8_L2TP/IPsec_client-to-site_(%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5_%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D1%81_%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2) вот тут настройка совсем врукопашную, там, наверное, есть ответ на ваш вопрос

Привет народ! подскажите можно ли забкисом мониторить изменение конфига в микротике? а то недавно косяк был, предпоследняя прошивка была, из вне все закрыто, а проксю из микротика организовали суки. 6.42.1 вроде был.

хочу еще мониторить конфиг нафсякий случай.

а почему именно l2tp/ipsec с винды? openvpn тоже хорош. Или сервер - микротик ?

опенвпн просто винда не умеет, надо что-то ставить. К тому же, опенвпн на микротике tcp. Через сотовые сети в плохом приеме ужасно

свои минусы и там, и сям

Привет народ! подскажите можно ли забкисом мониторить изменение конфига в микротике? а то недавно косяк был, предпоследняя прошивка была, из вне все закрыто, а проксю из микротика организовали суки. 6.42.1 вроде был.

сливаете конфиг на сислог-сервер, мониторите сислог-сервер. Правда если сперва сислог выключат - ничего не увидите

sstp ещё вариант для винды

оно тоже tcp

tcp over tcp over cellular - местами сильная боль

http://mikrotik.vetriks.ru/wiki/VPN:L2TP_%D0%B8_L2TP/IPsec_client-to-site_(%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5_%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D1%81_%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2) вот тут настройка совсем врукопашную, там, наверное, есть ответ на ваш вопрос

тут вроде как лаба. мне бы теорию

да нормально!

работать приходится периодически из деревни с мобильного интернета через sstp

но это смотря какая нагрузка на туннель нужна, конечно

тут вроде как лаба. мне бы теорию

теория в том, что можно адрес пира выставить в 0.0.0.0/0 и полиси навешивать на него некоторое дефолтное

работать приходится периодически из деревни с мобильного интернета через sstp

это смотря какое качество связи в деревне, на самом деле.

но ведь тогда сможет только один клиент подключиться как мне кажется

для полиси 0,0,0,0

и собсно по лабе сначала идет л2тп

а потом ипсек

и собсно по лабе сначала идет л2тп

ну нет

ну как нет

первым же этапом

первый этап - это что?

Включить L2TP-сервер

чисто по логике у нас появляется л2тп, а вторым этапом внутри его будет ипсек

так?