но вот не знаю будет ли явный роут иметь приоритет над роутом айписека. Хз как они соотносятся ?

возьми проверь на какой-то железке тестовой

ну, я сейчас только запиливаю эти туннели, у меня все роутеры соединены с хабом по OpenVPN-TCP на всякий случай

так что на реальных проверю

но идея с прописыванием 10.0.0.0/8 в политики узлов хорошая, спасибо

А с eoip у микротика счас есть не решенные проблемы?

возьми проверь на какой-то железке тестовой

гм, не получается добавить ipsec policy с action=none

он хочет sa-dst-address=

т. е. на IPsec в туннельном режиме

Gre+ipsec

я не умею в GRE :(

Я тож не умел

Задаешь на каждой точке адрес назначения и адрес отправления

И все

Ставишь passphrase и все

И ойписек настаиваешь

Маршрутизацию руками на каждом микроте прописал

Либо каждую сеть на центральном прописал де искать, в каком тунеле, а на концах весь трафик по дефолтные у маршруту заворачиваешь в туннель

Желательно наличие статики на всех концах

ща, вот ничего не понял

Задаешь на каждой точке адрес назначения и адрес отправления

это к IPsec'у относится?

его я настроил худо-бедно

Желательно наличие статики на всех концах

а её нет

маршрутизируемый IP только у хаба есть

Публичные адреса только в центре?

публичный адрес

только у роутера-хаба

остальные за carrier NAT

Тогда ddns

Микротик его бесплатно предоставляет

Почитай настройку гре

Между статикой и динамиков

Динамикой

Настроишь линковку, накладывай ипсек на это дело

в транспортном режиме?

а как в микротиковском файрволле в правиле указать несколько условий на адрес?

например, если я хочу, чтобы правило применялось к пакетам, уходящим в 10.0.0.0/8, но не в 10.159.230.0/24

Вопрос ? есть usb порт. Туда можно воткнуть 4G модем. Можно настроить резервный канал таким образом? Если основной отвалится, то можно было перейти на usb?

например, если я хочу, чтобы правило применялось к пакетам, уходящим в 10.0.0.0/8, но не в 10.159.230.0/24

Если правильно читал маны, то лучше разнести на два: одно разрешающее а второе запрещающее ;)

это не filter, это notrack в prerouting

в адрес листах могут быть отрицательные записи?

например, если я хочу, чтобы правило применялось к пакетам, уходящим в 10.0.0.0/8, но не в 10.159.230.0/24

добавляете 10.159.230.0/24 в адрес-лист, затем в правиле указываете dst-address=10.0.0.0/8 dst-address-list=!nameofthelist

добавляете 10.159.230.0/24 в адрес-лист, затем в правиле указываете dst-address=10.0.0.0/8 dst-address-list=!nameofthelist

гм, и вправду.

спасибо.

Вопрос ? есть usb порт. Туда можно воткнуть 4G модем. Можно настроить резервный канал таким образом? Если основной отвалится, то можно было перейти на usb?

Можно конечно, так и делают

Я дома хочу так сделать но некогда. Хотя работы там на 5 минут

делал так, на йоте, но возникла проблемка, на которую забил, если в сети не 2 компа, то йота не раздает интернет)))

ограничение на число пользователей там есть, на других свистках хз

Ребят, вопрос на засыпку. В общем делаю л2тп впн. Хочу разрешить входящие соединения по макам. Вопрос первый- можно ли как то использовать список маков( мак лист, так сказать)? Ибо я не нашел чего то: ( 2. В случае подключения клиента с мобилы через 2g/3g/lte - де взять его мак адрес? Т.е. не через вафлю с мобилы, а именно через сотового оператора. Чо будет являться маком в данном случае? Подозреваю что у всех клиентов на одной базовой станции будет мак именно этой станции. Подскажите, кто владеет информацией.

Ограничение обходится вроде как

ограничение на число пользователей там есть, на других свистках хз

Ну у йопты есть ограничения некоторые, но сейчас уже сошли на нет. Только порты рубят частично

Вопрос ? есть usb порт. Туда можно воткнуть 4G модем. Можно настроить резервный канал таким образом? Если основной отвалится, то можно было перейти на usb?

Ещё и второго провайдера можно по кабелю сунуть. Работает.

Я дома хочу так сделать но некогда. Хотя работы там на 5 минут

Спасибо

Ребят, вопрос на засыпку. В общем делаю л2тп впн. Хочу разрешить входящие соединения по макам. Вопрос первый- можно ли как то использовать список маков( мак лист, так сказать)? Ибо я не нашел чего то: ( 2. В случае подключения клиента с мобилы через 2g/3g/lte - де взять его мак адрес? Т.е. не через вафлю с мобилы, а именно через сотового оператора. Чо будет являться маком в данном случае? Подозреваю что у всех клиентов на одной базовой станции будет мак именно этой станции. Подскажите, кто владеет информацией.

мак мобильного не возьмешь, никак. про l2tp то же самое. пакет на хост прилетает от роутера и в нем будет мак роутера, а не исходного устройства отправителя

про впн может бридж можно как-то использовать

мак мобильного не возьмешь, никак. про l2tp то же самое. пакет на хост прилетает от роутера и в нем будет мак роутера, а не исходного устройства отправителя

понял. спасибо за информацию.

можно посмотреть в сторону сертификатов и openvpn

чтобы ограничить подключения извне

С сертификатами морочиться неохото

Опенвпн требует установки клиента у клиента

SoftEther vpn

Опенвпн требует установки клиента у клиента

а л2тп не требует ничего? сказал "хочу впн", вжух, и впн поднялся. так чтоли? =)

с openvpn идет easyrsa. через него все просто делается, никакой мороки

Ну он есть "из коробки" на большинстве современных ОС. И чем вариант с общим ключом и индивидуальными логином и паролем под каждого пользователя не подходит?

ERROR: S client not available

Для l2tp+ipsec?

да, надо подготовить профиль юзеру. установить клиент и запихать этот профиль. зато оно умеет маршруты из конфига, чтобы не заруливать весь юрерский траф в впн

Ну он есть "из коробки" на большинстве современных ОС. И чем вариант с общим ключом и индивидуальными логином и паролем под каждого пользователя не подходит?

он из коробки есть, да, но все равно что-то надо сделать, чтобы настроить подключение

а л2тп не требует ничего? сказал "хочу впн", вжух, и впн поднялся. так чтоли? =)

общий ключ ипсек + логин пароль для каждого. на всех устройствах (от винды до ипхона и андропова) не требует установки допонительного ПО

ещё можно общий ключ Л2ТП захуйарить

ну был вопрос - я предложил. не устраивает - дело ваше =)

да как то с сертификатами неохота :)

я домой л2тп сделал, мне нравится такой вариант

там примитивно все

я понимаю, но это морока

Единственный минус l2tp на андроидах - там обязательно должен быть юзер лок включён. Либо пин, либо граф ключ. Это если без рутов и всяких патчей

так инсталяшку скинул пассажиру виндовую, он се поставил её, и вводит только логин пароль и псё

а я не хочу при включенном впн через него в интернет ходить. так что каждому свое

Единственный минус l2tp на андроидах - там обязательно должен быть юзер лок включён. Либо пин, либо граф ключ. Это если без рутов и всяких патчей

это требование не только андроповых по моему. и на MIUI 8 не требует графический ключ. хотя почему то настройки куда то пропадают :)

овпн с профилем можно также в инсталляшку завернуть. можно вообще ничего не вводить

как раз экспериментирую, и пока не удалилось подключение настроенное

опенвпн на том же андропове требует ОБЯЗАТЕЛЬНОГО ключа блокировки экрана, это раз

Под l2tp средствами винды тоже отлично инсталятор создается, и кстати без дефолтного маршрута если нужно

Под l2tp средствами винды тоже отлично инсталятор создается, и кстати без дефолтного маршрута если нужно

совершенно верно. дефолтный маршрут можно галочкой снять и не заворачивать весь трафик в туннель

ну делайте фильтрацию клиентов средствами л2тп, дело ваше

и до кучи не надо ставить лишний софт

блять

Человек на любой винде 7+ запускает один файл и получает готовый профиль с ярлыком или без, только логин и пароль введи, даже общий ключ в него уже можешь вставить

у меня был вопрос по фильтрации - как отфильтровать сами подключения

я ответил. можно по сертификатам. в т.ч. отозвать скомпрометированный

чтоб разрешить только моей мобиле или моему компу с динамическими адресами и вообще без статического. на него я получил ответ - никак потому что тилипоны не имеют своего мака для связи

если есть еще способ - тоже отлично. скажите, возьму на заметку

я ответил. можно по сертификатам. в т.ч. отозвать скомпрометированный

я тоже ответил что это дополнительная йэбля

я тоже ответил что это дополнительная йэбля

вам фильтровать или нихуя не делать? =)

как говорил мой препод в универе - чем проще, тем лучше