😷Драничек
И немножко стремно стало за порт
😷Драничек
Судя по changelog он-таки как раз мигает в такт светодиоду порта)
Sergey
Отличный индикатор линка 😂😂😂
Вадим
Sergey
Народ, есть у кого либо best practice по связке mt с zywall в тоннель? По нему будет кататься rdp и sip. Давно в зиволах не копался, лень читать.
Sergey
На стороне зивола плавный админ, а мне курить маны ну не в тему
😷Драничек
Там вроде понятная морда. Я давно USG 50 ковырял.
Sergey
короче Zywall инициатор ipsec, микрот в пасиве, маны быстро листанул, вроде всё ровно, но микрот пишет no phase2
Sergey
я понимаю что неправильно выставленны алгоритмы, но при этом в зивол тоже глянуть не могу... пока
Maxim
Эта настройка ограничевает количество подключений к серверу?
Semyon
Maxim
хм, а что делать если эта штука не работает?
Moneron 🇷🇺
Как именно не работает? Уточните
Moneron 🇷🇺
И какая версия?
Moneron 🇷🇺
Протокол тот же?
Maxim
Moneron 🇷🇺
Для каждого протокола, насколько помню, это действует индивидуально
Maxim
да, у меня только l2tp
Maxim
правда настроена аутентификация через виндовый радиус
Moneron 🇷🇺
Тогда вопросы к радиусу
Moneron 🇷🇺
Этим уже он командовать будет
Maxim
типа это таки он разруливает?
Moneron 🇷🇺
Да.
Moneron 🇷🇺
Попробуйте сделать локальную учётку и проверить, должно отрабатывать нормально
Maxim
Ну он просто говорит: можно или нельзя, откуда ему знать подключен ли сейчас клиент или нет
Moneron 🇷🇺
Аккаунтинг же ведётся
Moneron 🇷🇺
Думаете, AAA просто так называется? Аутентификация, авторизация, аккаунтинг
Maxim
Vlad
Vlad
у меня стоит
Maxim
А Radius используешь?
Vlad
ща к радиусу подключусь посмотрю
Vlad
да
Vlad
l2tp/ipsec авторизация через радиус
Maxim
у меня по ходу како-то косяк в настройке радиуса всё-таки
Vlad
щас смотрю ничего запредельного в радиусе нету
Vlad
а условия подключения какие? в радиусе?
Maxim
Создаётся впечатление, что в качестве идентификатора, радиус использует не только имя, но и адрес и пр.
Maxim
Vlad
а в логагах радиуса ничего странного нету?
Maxim
он просто разрешает подключение уже подключённому юзеру
Maxim
я не могу понять где проверяется и выдаётся запрет/разрешение на повторную аутентификацию
Vlad
Vlad
по уму эта галка отвечает за это
Evgeny
Привет, товарищи.
Столкнулся с не совсем понятной мне ситуацией с сертификатами в Микротике.
Импортирую открытый ключ CA, самоподписанный, все дела. Импортировался.
Генерю в стороннем софте новый сертификат, подписанный этим CA, для ovpn. Т.е. единственные поля, которые заполнены:
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
Netscape Cert Type:
SSL Server
ну и common-name
Пытаюсь импортировать. И он ЗАМЕНЯЕТ предыдущий сертификат CA.
Ломаю голову, как может импортированный сертификат заменить сертификат CA, который его выдал? У них разные common-name и разные фингерпринты.
Evgeny
При этом есть другие сертификаты, сгенеренные, например, для доступа на морду по SSL, с ними такой хрени не происходит, нормально импортится и открытый, и закрытый ключи
Evgeny
версия 6.40.1
Evgeny
Откатился на 6.38.7, все нормально. Багло или это какая-то хитрая логика Микротика в новой версии?
Moneron 🇷🇺
Evgeny
Да, уже строчу. :)
Maxim
День добрый, господа Микротиководы)
Maxim
Есть вопрос по поводу l2tp сервера
Maxim
Стоит он себе, работает и в целом всё хорошо. Но как я понимаю из-за особенности работы IPSec за NAT ко мне может подключиться только один клиент из-за одного NAT.
Maxim
Т.е. если у меня два сотрудника, живут в соседних домах, ходят в интернет через одного провайдера, с серыми подсетями, который выпускает их через один и тот же белый адрес. Подключиться к офису по l2tp сможет только один (а точнее первый).
Maxim
Как выходить из этой ситуации? делать отдельно pptp сервер, или отдельный профиль без IPSec шифрования?
Dmitriy
Тогда одного через пптп
Dmitriy
Точнее поднимать что то кроме л2тп
Dmitriy
Та же ситуация была
Moneron 🇷🇺
ССТП шифрованый можно
Moneron 🇷🇺
Вот сстп вообще пофиг на нат. Не такой производительный, но зато везде пролазит
Moneron 🇷🇺
Тем более — никаких проблем. В винде ССТП нативно встроен. Это мелкомягкий протокол
Moneron 🇷🇺
Главное — сертификаты правильно выпустить
Maxim
Maxim
Единственное его наверное на другой порт перевесить стоит.... он 443 по деофолту пользует
Moneron 🇷🇺
Больменее инфа по сертификатам: https://goo.gl/CxU7wR
Moneron 🇷🇺
Maxim
Проброшен до NGINX и за ним уже несколько веб серверов
Moneron 🇷🇺
Ну тогда да, перевешивайте
Maksim (InCorp)
Когда уже свитчи на 48 портов будут?
Maxim
Maksim (InCorp)
Вообщем не работает pcq у меня :(
Maxim
Maksim (InCorp)
Maksim (InCorp)
чтоб всей сети хорошо было, а не одному влану
Maksim (InCorp)
10 вланов в очередях, надо чтобы между ними трафик равномерно распределялся, а не забивался весь канал одним, двумя вланами