неправильная логика. Последовательнсоть настройки связана с последовательностью соединения никак

л2тп внутри ипсека

так?

обычно наоборот. ипсек и внутри л2тп

обычно l2tp внутри ipsec все же

обычно наоборот. ипсек и внутри л2тп

конечно

и как пнимаю всё так же остается безобразие с кучей портов для ипсека, гемором с натом?

но меня интересует именно теория

вот первым этапом идет ипсек

никто не мешает на оборот но руками

как он работает в туннелььном режиме я достаточно понимаю как мне кажется

можно даже ипсек - л2тп - ипсек

и л2тп с встроенным шифрованием

и вот эти знания говорят, что ипсек работает с обеих сторон зеркально, нет ни клиента, ни сервера. + проблема если NAT

хотя и есть NAT-Traversal

и я вот хочу понять, как "головное" оборудование, будет разбирать и настраивать полиси когда несколько клиентов к нему приходят

ипсек же следует настрокам полиси

а там ...

0,0,0,0

такую схему я видет в туннельном режими. но так будет работать только один клиент

никто не хочет в меня учебником ткнуть?

http://www.faqs.org/rfcs/rfc3193.html

хм.. ну я бы не сказал что это учебник. к тому же как бы не было стыдно, у меня не очень инглиш

ну, в общем, есть стандарт, который определяет поведение ipsec в случае l2tp over ipsec

0,0,0,0

я так сделал один раз на домашнем: полиси: нули на обоих концах. И потерял доступ, так как роутер стал всё заворачивать в ипсек

такую схему я видет в туннельном режими. но так будет работать только один клиент

Делал по пачке статей, пытаясь в голове собрать воедино. В результате, сделал ipsec между двумя концами l2tp туннеля, но в таком случае надо либо несколько полиси для разных наборов адресов. В моём случае домашняя сеть 192.ы.ы.ы, l2tp туннель 10.20.ы.ы. И если без маскарадинга, то помимо полили 10.20 - 10.20, 10.20 - 0.0.0.0 (в мир), 0.0.0.0 - 10.20 (обратно) надо было ещё 192. - 0.0.0.0 и обратно. Либо маскарадить.

в результате плюнул, и сделал l2tp внутри ipsec со всего 1 полиси, ибо дома статика и было лень

Сделать не проблема. Инструкций куча.

Я хочу в голову собрать теоретический материал по этому типу ВПН

сдсм про впн читали? там на примере гре+ипсек но принцип тот же.

что за сдсм?

https://habr.com/post/170895/

в rb3011 где включать ipsec acseleration

??

hardware

или как посмотреть что эта поддержка работает?

Качнуть в туннель трафика

ребята, подскажите плз Стандартный фаерволл, например 1 accept established, related 2 drop invalid 3 accept from lan 4 drop всё остальное верно? А почему дроп всё остальное не дропает connection state new?

может оно from lan?

Ох

Кажется пора спать

Как в том анекдоте... Ой, столько дел, столько дел... Пойду ка я лучше посплю... ?

А почему если я запрещаю forward с какого-то ip из lan и ставлю правило между drop invalid и accept from lan комп из лан может ходить на сайты? Даже после перезагрузки компа, когда по идее соединений никаких нет и установить новое этот ип не может

вместо перезагрузки ты можешь просто браузер закрывать. или вообще F5 нажимать возможно, ты блокируешь не тот IP

я не помню подробностей, но недавно так сделал - tcp траффик ходил, пока я не поднял правило выше, чем accept established, related

и ты точно это в форварде делаешь?

мм…

Конечно

Правда, у меня правило 0 ещё есть, разрешает инпут и форвард icmp

Ну, два правила

Я так упрощённо написал

Но оно ж не должно влиять на connection state new для всего что не icmp

а сейчас вроде работает

наверное всё-таки браузер пару дней не закрывался

зря только высадился

Уверен что в этом чате есть извращенцы которые думали об этом. Реально ли сделать VPN канал (site-to-site) или (client-to-site) для трансляции remote play PS4

А почему если я запрещаю forward с какого-то ip из lan и ставлю правило между drop invalid и accept from lan комп из лан может ходить на сайты? Даже после перезагрузки компа, когда по идее соединений никаких нет и установить новое этот ип не может

а в контраке соединения с этого ип сбрасывал? ребут компа на контрак микротика никак не влияет

Уверен что в этом чате есть извращенцы которые думали об этом. Реально ли сделать VPN канал (site-to-site) или (client-to-site) для трансляции remote play PS4

Для Стима делал , работает

Для Стима делал , работает

Есть примерный ман или просто впн хватит

Есть примерный ман или просто впн хватит

Манов нет , все зависит от того как робает на плахе этот сервис . Стим допустим только бродкаст умеет , ему нужен EoIP

сбросил настройки микротика, перенастроил - теперь недоступен гитхаб. все сйты нормально открывается, кроме гитхаба. куда копать?

tcp-mss

Скорее всего

Или просто мту

ERROR: S client not available

У меня так было после настройки ipsec: пара сайтов перестала работать. Включение tcp-mss помогло

Есть настроенный и работающий для удаленного доступа в интернет l2tp ipsec сервер, также настроен фаервол на белый список правил. Было желание настроить ике2 сервер получилось так что соединение происходит и с микрота пингуется подключенный клиент, но инета на клиенте нет. Правило для НАТа разрешить сорс нат с IP клиента в самом верху списка не помогло. Кто настраивал ике2 сервер после л2тп ипсек какие правила фейрвола и ната вы добавляли\меняли ?

...Для клиента выдается тотже айпи что и при подключении через л2тп...

сбросил настройки микротика, перенастроил - теперь недоступен гитхаб. все сйты нормально открывается, кроме гитхаба. куда копать?

Случайно правил для блокировки 192.168.0.0/8 не делал?

Или 192.0.0.0/8?

Случайно правил для блокировки 192.168.0.0/8 не делал?

нет

нет

Адрес и маска в локалке какие?

192.168.1.1/24

255.0.0.0

255.0.0.0

Вот и ответ. Маска /8

Что делает все адреса 192.0.0.0-192.255.255.255 входящими в твою локалку.

{"name": "GitHub.com.","type": 1,"TTL": 59,"data": "192.30.253.113"}, {"name": "GitHub.com.","type": 1,"TTL": 59,"data": "192.30.253.112"}

Тебе нужна маска 255.255.255.0, или убрать ее совсем.

У тебя она указана в адресе, /24 это та же самая 255.255.255.0

ох ты ж!

ох ты ж!

Первый раз с этим сталкиваешься что ли?

ну мен не доводилось траблшутить сеть, в принципе

Первый маркер же, если маска у 192.168 шире, чем /16 - отваливается гитхаб :)

Исправляй

отличный детектор)

отличный детектор)

Казалось бы - как дойти от неработающего гитхаба к неверной маске в локалке за один шаг :)

тут слышал пару раз, что 172.16 /12 неправильно делают, но там проще накосячить новичку, ибо /12 считать - это ещё думать надо. А 192.168 и 10. уж ровно по октетам

тут слышал пару раз, что 172.16 /12 неправильно делают, но там проще накосячить новичку, ибо /12 считать - это ещё думать надо. А 192.168 и 10. уж ровно по октетам

Ну /12 считать - главное помнить что это 172.16-172.31 включительно

:)

:)

спасибо тебе, добрый человек, заработало)

Но да, чаще всего (по моему опыту в 99% случаев) если работает все, кроме гитхаба - это 192.168/8

спасибо тебе, добрый человек, заработало)

Будьте внимательны и осторожны

Да всё просто, когда сталкиваешься периодически. Тот же tcp-mss для меня был вообще сюрпризом: все сайты работают, кроме 1-2, и трейс работает до них. И через другой туннель работает. Ну вот не знал, и рылся сколько времени

Да всё просто, когда сталкиваешься периодически. Тот же tcp-mss для меня был вообще сюрпризом: все сайты работают, кроме 1-2, и трейс работает до них. И через другой туннель работает. Ну вот не знал, и рылся сколько времени

Опыт, сын ошибок трудных