Тут подсказывают, что мы забыли знаменательную дату! Вчера исполнилось 20 лет с момента срабатывания вируса, по сравнению с которым эти ваши ванакраи детский лепет. 20 лет отметил великий и ужасный уничтожитель биосов, стиратель данных и просто продукт гения, положившего на лопатки около полумиллиона машин. Я сначала подумал это про win98 ?

Ребят вопрос, в IPSec, каким-то образом сравниваются сетки которые указываются в crypto-map с обоих сторон?

Как-то я упустил этот момент, либо забыл

В аксес листах же

Ну они при установлении Phase 2 передаются друг другу и сравниваются?

Чтоб зеркальные были

Ну матчиться аксесс лист и заворачивает траффик в тунель когда попадает под крипто мапу

Миша ты не понял

2 фаза, передача id идёт proposed local-ip remote-ip

потом сравнение пропозала и локального селектора

Чтоб зеркальные были

Если обычный цисковский, в народе именуемый "полиси бэйзед" то да. Если роут бэйзд, то не должны совпадать сетки. Мб с vti не надо, но точно как это у циски не знаю

это стандартный криптомаповый, насчет route-based(VTI) там обычно проще, не дебажил давно, в селекторах вайлдкард сети вроде бы емнип

ну не то чтобы не должны, просто там нули могут быть в селекторах, в роут бейхед впне можно обычно указать traffic selector явно, если на другом конце хост настроен для policy-based

ну не то чтобы не должны, просто там нули могут быть в селекторах, в роут бейхед впне можно обычно указать traffic selector явно, если на другом конце хост настроен для policy-based

Ну да, нули)

6пин и psu подключил же?

2 фаза, передача id идёт proposed local-ip remote-ip

А почему ip? В ACL то целые сетки указываем для cryptomap

там и будет подсеть

Ребят вопрос, в IPSec, каким-то образом сравниваются сетки которые указываются в crypto-map с обоих сторон?

Вендор депендед вопрос, у некоторых по-разному

Я понял. Как-то упустил этот момент. Знал что соответствовать должны в acl-based, но не подумал, или забыл, что обменяться должны, чтоб сравнить... над как-нибудь повторить тему)

раз уж про ипсек разговор. кто нить поднимал криптомапу на loopback?

всмысле вешал на лупбек интерфейс , на циске

всмысле вешал на лупбек интерфейс , на циске

Одну команду надо вбить

Просядет проц, но работать будет

секретную?

чёт не пашет вот

секретную?

Беспонтовую!

секретную?

Ip fight-club loopback0 :)

туннель поднимается, с роутера шифрованные пакетики уходят обратно возвращаются, но не хотят попадать в свой врф, остаюстя в глобале и куда то улетают в соотвествии с глобал таблицей

Ip fight-club loopback0 :)

Ip suck my loopback ;)

теже самые команды на туннеле и всё пашет

теже самые команды на туннеле и всё пашет

всмысле на туннельном интерфейсе

с rri пробовал, тоже самое

Лупбак софтварная сущность,

Отсюда плясать надо

а туннели типа нет?

в ипсеке есть что нить не софтварное вообще? )

если только акселираторы какие нить

а туннели типа нет?

Как это нет? Есть конечно. Витя, на лупбеке, анамберед. Солюшен кейс. Абсолютли.

Витя анамберед, лупбеке намберед, офкос. Сори, первая фраза плохо читалась.

по существу есть че?

Unnumbered vti - lmgitfoyou

мне этотне подходит

Ролбек ту тэзэ

на лупбеке можно поднять или нет?

Сорян, утомил.

тз примерно такое. поднять ещё один ипсек между циско роутером и асашкой при условии, что между ними уже поднят ипсек

секретную?

no ip cef

лупбека то в цефе нет

поэтому его надо отключать

хм, попробую

просто странно, в дампе вижу , что когда пингую, шифрованный реквест уходит, шифрованный реплай возвращается, но попадает не в тот интерфейс в который надо

хм, попробую

Лул шутка жи

ну я чет настока щас заморочен на этой хрене, что юмора уже не ощущаю )

Цеф на железке ваще не вырубай никогда

Ты шо

ну это пока тестовая среда, просто понять в чём трабл. если в этом, хотя бы можно успокоится и искать другие варианты

Доброго вечера

он неактивен

напротив него А нету

Да, я заметил.А что может помешать ему таковым стать?

На интерфейсах маска /31

Это поинт ту поинт, причем он тут?)

А он точно поинт ту поинт? Статические маршруты через второй интерфейс тоже неактивны.

ERROR: S client not available

микротик не может вроде в коннектед /31

Тик же, вроде, /31 не умеет?

Тик же, вроде, /31 не умеет?

Без вроде. Не умеет.

Без вроде. Не умеет.

Вот и ответ

У меня бывает что с самого тика не все сети видит... А с хостов за тиком видит. По тому что не всегда в консоли он правильно ищет указанный ip.

Надо пробовать либо через tool ping

С указанием интерфейса где искать

Липо опять же за тиком на хостах.

Еще я бывает забываю указать в firewall что бы новые сети не натило...

Без вроде. Не умеет.

А в последних апдейтах разве не починили?

А в последних апдейтах разве не починили?

ни

ни

Честно говоря, не знаю хорошо это или плохо. Не вижу пока что идей на счет кейса с такой нуждой)

Честно говоря, не знаю хорошо это или плохо. Не вижу пока что идей на счет кейса с такой нуждой)

Я тоже

Им просто никто не дал почитать RFC 3021

Обычно в gre пишу /30

Так и живём)

Им просто никто не дал почитать RFC 3021

Я не читал( да и не читаю, но чувствую что скоро придётся, так как иногда метод тыка не всегда отрабатывает...

У меня инженеры такие: - За каким хером ты это сделал? - Ну так раньше так делал и на практике работало! - Ты хоть понимаешь, что это и как оно работает? - Нет. Но работает же!

И хер поспоришь

И хер поспоришь

Я вырвал такого же плана сегодня с хабра.

Я вырвал такого же плана сегодня с хабра.

?

?

H K: Я часто вижу, как «Инженеры», настраивая обычный NAT, вместо dst-nat используют netmap или same вместо srcnat. Работать конечно будет, но это не значит, что это правильно.

Вот чего б и нет?)

Работает же)

хабр еще не до конца скатился до уровня “Смотрите, я завязал шнурки правильно! Сейчас расскажу как!”?

Прочёл кстати только что о RFC 3021

H K: Я часто вижу, как «Инженеры», настраивая обычный NAT, вместо dst-nat используют netmap или same вместо srcnat. Работать конечно будет, но это не значит, что это правильно.

Мои так и маскарадинг настраивают(

Помню лаба была в универе

На виртуальном цископодобном софте

Не помню как оно называлось.