это с апписеком проблема а не с л2тп же. незя из под одного адреса лезть. там уже хоть онли уан, хоть не онли

а Л2ТП как заработает с одного адреса? Просто интересно

в л2тп/ipsec сперва делается айписек, а в нем уже л2тп

а Л2ТП как заработает с одного адреса? Просто интересно

мне лень думать как. но почему нет? что помешает? в айписеке мешает что то со SPI связанное

мне лень думать как. но почему нет? что помешает? в айписеке мешает что то со SPI связанное

ну да, проверил. работает. Ну думал будет два тунеля прилетать с одного соурспорта. как оно понимает что кому отдавать ?. Правда у себя я проверял на связке роутер-роутер. Могло работать чисто по айдишке тунеля внутри пакета. А вот при контраке хз как оно будет понимать какому клиенту какой пакет пересылать

Подсажите пожалуйста, есть микротик, выступает как клиент l2tp/ipsec , как правильно сделать что бы трафик от пк за этим роутером шел в интернет через тунель ?

ну да, проверил. работает. Ну думал будет два тунеля прилетать с одного соурспорта. как оно понимает что кому отдавать ?. Правда у себя я проверял на связке роутер-роутер. Могло работать чисто по айдишке тунеля внутри пакета. А вот при контраке хз как оно будет понимать какому клиенту какой пакет пересылать

почему с одного? сорс порты будут разные. дест - одинаковые

почему с одного? сорс порты будут разные. дест - одинаковые

так вроде у Л2ТП соурспорты тоже жестко прописаные - 1701, причем он такой и для соурс и для дестинейшн

так вроде у Л2ТП соурспорты тоже жестко прописаные - 1701, причем он такой и для соурс и для дестинейшн

The initiator of an L2TP tunnel picks an available source UDP port (which may or may not be 1701), and sends to the desired destination address at port 1701.

1701 идёт уже в тунеле, 4500 и 500 как раз для этого тунеля.

не знаю почему ты так решил)

было бы очень странно жестко прописывать сорс порт

Такая же картинка

src-port у l2tp=1701

да я думал оно покажет в виде превьюшки, что бы не кликать на нее

+-

Щас подниму еще один тунель и гляну Поднял, глянул. Новый конекшн не появился. Получается новый тунель бегает внутри старого конекшина. Тоесть оно срц.порт не поменяло.

причём до 3 хостов l2tp уходит с 1701. До одного - внутри IPSEC, для двух других - IPSEC уже между приватными адресами л2тп-туннеля

The initiator of an L2TP tunnel picks an available source UDP port (which may or may not be 1701), and sends to the desired destination address at port 1701.

короче порт МОЖЕТ не быть 1701, но микрот до последнего будет юзать 1701 ?. Но всё же это значит что Л2ТП сервак не будет ЖЕСТКО требовать 1701 порт, значит клиентам за микротом можно срц.натить другой порт.

короче порт МОЖЕТ не быть 1701, но микрот до последнего будет юзать 1701 ?. Но всё же это значит что Л2ТП сервак не будет ЖЕСТКО требовать 1701 порт, значит клиентам за микротом можно срц.натить другой порт.

А src порт задается клиентом ведь?

А src порт задается клиентом ведь?

ну да, клиентом, но никто не мешает на промежуточном роутере его подменять

или может виндовый клиент умеет задавать порт. На микроте, во всяком случае, порт не задается

Так, а вот как мне на микротике его занатить?

ну как - в НАТе файрвола по срц. адресу и срц. порту

но это для чистого Л2ТП. Хз как с этими вашими айписеками

Ага, понял

То есть в моем случае проблема исключительно из-за айписека?

В ТЕОРИИ же. на приктике не скажу, не юзаю айписек, нюансов не знаю.

кто нибудь настраивал ипсек на линксе с rsa key?

как ключи правильно прописать в strongswan?

authentication of 'x.x.x.x[' with RSA successful

no RSA private key found for 'x.x.x.x'

как так то непонятно

loaded RSA private key from '/etc/ipsec.d/private/private.key'

короче порт МОЖЕТ не быть 1701, но микрот до последнего будет юзать 1701 ?. Но всё же это значит что Л2ТП сервак не будет ЖЕСТКО требовать 1701 порт, значит клиентам за микротом можно срц.натить другой порт.

ну да, может быть, может не быть))

ключ вроде видит

Добрый день

микротик неожиданно перестал отрабатывать скрипт

[admin@MikroTik] > system script run script3 Saving system configuration Configuration backup saved action timed out - try again, if error continues contact MikroTik support and send a supout file (13)

отрабатывал каждый час, до двух ночи

как получить более подробный вывод по ошибке

Всем привет! Есть возможность в Mikrotik HEX подключить USB Wi-Fi свисток? Или порт только для модемов?

Всем привет! Есть возможность в Mikrotik HEX подключить USB Wi-Fi свисток? Или порт только для модемов?

Ну, попробуй, ч0

Если дрова на чип в свистке есть - заработает

Всем привет! Есть возможность в Mikrotik HEX подключить USB Wi-Fi свисток? Или порт только для модемов?

нет. Физически есть. но поддержку ЮСБ вайфая выпилили начиная с 6 версии РОС

нет. Физически есть. но поддержку ЮСБ вайфая выпилили начиная с 6 версии РОС

Что-то я это проглядел

Добрый день

Начал работать так же неожиданно как и перестал.

шо за херня? там вообще не для єтого тебе надо сбриджевать еоип с езернетом куда надо передать дальше вилан. По дефолту вилан прозрачно пролетает через бриджи.

нашел тут - https://forummikrotik.ru/viewtopic.php?f=15&t=7328&start=10

еще читал тут - тоже не взлетело - https://habr.com/post/220685/

что думаете?

я напомню, как нужно обращаться с токсичными IP по теме защиты прокси от сканеров. А то мы стали забывать, что такое Digital Resistance t.me/zatelecom/4782 Самый простой способ уберечь прокси и/или другие шлюзы от сканеров РКН — отправлять все запросы из токсичных сетей в drop. Да, это будет нарушение связности. Но лучше закрыться от некоторых сетей и прекратить доступ к части, чем потерять связность вообще. Более эффективной защиты я пока не знаю, но выслушаю аргументы

вроде как статья по тому, как они вылавливают прокси говорила о беспарольных проксях

с другой стороны, пароль там в открытом виде передаётся. А народ от PPTP ссыт, мол, небезопасный он. лол

ну и как бы ничто не мешает сунуть пачку правил.

40585 - это сНАТился порт при подключении андроида из-за 87.229 ?

Ага

еще читал тут - тоже не взлетело - https://habr.com/post/220685/

тебе надо тупо бриджевать езернет(откуда куда должен прилетать вилан) с ЕОИП который поднят между роутерами. всё.

Мту...

Смотрите мту

В еоип будет мту ниже чем 1500

ERROR: S client not available

И тупо в локальный бридж его нельзя...

https://t.me/MikrotikRu/369856 ну что я могу сказать, норм тема, отследил 4 отправляющих "нечто" c 2х андроидов, вполне себе норм тема, можно в бан лист таргетное IP занести и спать спокойно) короче для меня вполне удобоваримо, конечно правил добавилось, и нагрузки на весь траф, ну что поделать)

мсье знает толк в извращениях

мне лень думать как. но почему нет? что помешает? в айписеке мешает что то со SPI связанное

ниче там не мешает в айписеке

мешает тока в микротике )

потому что у них к адресу привязка идет, вместо связки

В еоип будет мту ниже чем 1500

в еоип будет мту такой который указан

мту вообще может быть любым

весь вопрос в фраментации

в еоип будет мту такой который указан

Еоip

Через интернет...

Максимум 1480

мсье знает толк в извращениях

Самое интересное то, что инфу через троянские порты слал бесплатный андроид фаервол)

Максимум 1480

Нет

Сколько укажеш, столько и будет

Ладно... Учту

Типа vpls?

Вот хз про вплс но в еоайпи точно можно до 65к. Но глючный он. Да и херня полная. Я для цискофонов использую

Но лучше не юзать вобще)

А в вплс же минимум надо 1528 вроде

Максимум 1480

значит он отправит все что не влезло в 1480 вторым пакетом или 22

это работает не только с впнами даже с езернетами прокатывает

А в вплс же минимум надо 1528 вроде

1526;)

ааааа спасите памагите мне китайцы присели на проксю

куда бежать что делать

дёргай провод

выдавливай стекло

В РКН, срочно

звони в спортлото

народ, если локальных или удаленных сетей у ipsec соединения больше чем одно, то как быть? Как расширять список сетей?

например есть у микрота две лок сети: 192.168.1.0/24 и 192.168.2.0/24 Как это прописать в polices или куда там ещо?