Александр
Это имеется в виду?
Александр
на другой порт перевести вебморду или отключить ее
Alexander
спасибо, попробую
Dmitry
на другой порт перевести вебморду или отключить ее
и добавить порт в firewall, а то потом хрен попадёт
Александр
Само собой
Dmitry
в стандартную группу Default_ZyWall_Access
Alexander
и добавить порт в firewall, а то потом хрен попадёт
спасибо, проверю, вроде бы отключал файерволл
Alexander
кстати а могут ли между собой конфликтовать usg20 и kerio control? по описанию функционала они крайне схожи
Dmitry
спасибо, проверю, вроде бы отключал файерволл
главное, при включении не забыть.... у меня сохранённые конфиги перед важными обновлениями, благо откатиться смог :)
Dmitry
кстати а могут ли между собой конфликтовать usg20 и kerio control? по описанию функционала они крайне схожи
не проверял, не в курсе :)
Anonymous
кстати а могут ли между собой конфликтовать usg20 и kerio control? по описанию функционала они крайне схожи
в каком смысле конфликты?)
Alexander
в далеком оторочестве, то есть примерно 2008-2009 годах постоянно на баше были история про конфликты между железками и ПО
Александр
кстати а могут ли между собой конфликтовать usg20 и kerio control? по описанию функционала они крайне схожи
Могут, один пакеты пропускает, второй режет, причем не постоянно. То зюхель по количеству сессий, то керио что-то не понравилось...
Александр
в далеком оторочестве, то есть примерно 2008-2009 годах постоянно на баше были история про конфликты между железками и ПО
Баш... эх тот баш еще тот баш )
Alexander
собственно во вторник с этим и столкнулся, когда пользователи не могли подцепиться через kerio vpn client и зайти на сайт развернутый за керио, все запросы упирались в zyxel
Alexander
nat вирутальный сервер же должен все перекидывать по настроенному правилу с входящего ip на внутренний без ограничений, если они не настроены?
Александр
да
Александр
а на кой крио за Zyxel? прошу прощения за тупой вопрос )) Zyxel шикарно умеет l2tp Ipsec
Александр
И практически любое клиентское устройство поддерживает этот тип подключения
Ji
Коллеги привет! Подскажите пжл где почитать о настройке маршрутов клиентов l2tp в usg60. Нужно клиентов пропустить в сеть по одному протоколу rdp весь остальной трафик вернуть обратно в сеть
Ji
Спасибо!
Александр
это в файерволле делается
Александр
сначала из зоны ipsec в зону lan запретить все
Александр
из зоны ipsec в зону lan разрешить rdp
Александр
Запрещающее правило должно быть ниже
Ji
А маршрутизация разве не делается? Остально трафик нужно вернуть обратно в исходную локальную сеть клиента
Александр
при подключении VPN работает базовое правило маршрутизации, изначально обе сети указанные во 2-й фазе роутятся без ограничений
Александр
это по сути 2 локальных сетки
Александр
дополнительно роуты не нужны
Александр
если ВПН динамический (не точка-точка), то любая сеть подключаемая снаружи так же роутится без ограничений
Ji
Вот этого мне и не хватало! Спасибо 🙏!
Александр
Александр
единственное что еще могу порекомендовать, во время самоизоляции помогало, к примеру: есть подразделение в Омске, там нет внешнего IP, но нужно соеденить офис и сотрудников в этом городе, при этом сотрудники по домам сидят.
Александр
Значит схема: В центре (Москва) делаю динамический VPN и к нему подключаю офис, делаю так же L2tp и пользователи из дома в Омске цепляются в Москву, а далее уже маршруты на шлюзе заправляют их в Омский офис..
Александр
примеры маршрутов
Александр
Александр
да, для разблокировки l2tp надо конфигу поломать немного )
Александр
https://support.zyxel.eu/hc/ru/articles/360005176760-Ограничение-в-шлюзах-безопасности-серий-ZyWALL-USG-ATP-VPN-с-кодом-продукта-RU
Ji
Для разблокировки 3des? Да, командой выполнил
Ji
Ещё маленький вопросик. Подскажите пжл что такое динамический впн ?
Александр
это когда только одна точка имеет внешний (белый) IP адрес и уже к ней могут подключаться сторонние клиенты
Александр
точка-точка - "статический" ВПН обе точки имеют внешний (белый) IP адрес
Ji
Спасибо :)
dot
Не совсем так. И на сером IP может быть соединение сеть-сеть статическое. Главное чтобы IP-адрес пира не менялся.
Соединение может быть с одной стороны сеть-сеть статическое, а с другой стороны сеть-сеть динамическое.
Динамический тип вибирается на стороне, которая не знает IP-адрес дальней стороны.
Миштах
Значит схема: В центре (Москва) делаю динамический VPN и к нему подключаю офис, делаю так же L2tp и пользователи из дома в Омске цепляются в Москву, а далее уже маршруты на шлюзе заправляют их в Омский офис..
А каким протоколом вы соединяете офисы в данном примере?
Александр
Опять же пример: Центральный офис строительной организации, захотел объединить все точки строительства. В офисе есть белый (внешний) IP, на точках куплены двойные комплекты роутеров (не дорогих) 1-й роутер в инет выходит (через мобильный инет), второй роутер уже из-за nat делает IpSec VPN подключение. Это примерно 2008 год, поэтому такая муторная реализация, не нашел одного роутера способного на то время делать и инет через симку и IpSec.
Anonymous
Опять же пример: Центральный офис строительной организации, захотел объединить все точки строительства. В офисе есть белый (внешний) IP, на точках куплены двойные комплекты роутеров (не дорогих) 1-й роутер в инет выходит (через мобильный инет), второй роутер уже из-за nat делает IpSec VPN подключение. Это примерно 2008 год, поэтому такая муторная реализация, не нашел одного роутера способного на то время делать и инет через симку и IpSec.
ну в вашем варианте, можно использовать динамический впн
dot
Для IPSec нужен мощный CPU c ускорителем шифрования AES. LTE роутера, как правило, еле со своим трафиком справляются.
Миштах
Для IPSec нужен мощный CPU c ускорителем шифрования AES. LTE роутера, как правило, еле со своим трафиком справляются.
У меня в филиале маленьком стоит keenetic. Он по ipsec соединен с главным офисом и "не единого разрыва связи"©. Мало того, так как в нем реализован sstp - то я нескольких пользователей внешних подключаю к нему и дальше их запросы через ipsec тунель маршрутизируются в сеть основного офиса. По нагрузке все норм
dot
Сколько Мбит/с через IPSec тянет Keenetic?
Александр
до 100 ))
Александр
это точно
Александр
больше просто не было в практике
Александр
https://keenetic.ru/ru/zyxel-keenetic-4g-3
Александр
эти дешево сердито
dot
На одну точку планирую ставить USG FLEX 100W с LTE модемом по USB.
Хотелось бы получить 100 Мбит через IPSec, только боюсь, что в том месте через 4G столько не прокатит.
Миштах
Сколько Мбит/с через IPSec тянет Keenetic?
Ну у меня из филиала канал в интернет 15 мегабит/с. Так что думаю до предела ему далеко
Миштах
На одну точку планирую ставить USG FLEX 100W с LTE модемом по USB.
Хотелось бы получить 100 Мбит через IPSec, только боюсь, что в том месте через 4G столько не прокатит.
Зачем такие скорости? У вас пользователи будут по smb обращаться массово к ресурсам сквозь тунель?
dot
Начальство хочет смотреть 4К видеопоток с места.
Миштах
Начальство хочет смотреть 4К видеопоток с места.
4k видеопоток сквозь тунель ipsec... мне представляется это очень спорным решением
dot
Pаботаю джинном исполняющим желания.
dot
Константин
Три богатыря
Александр
пусть оптику заказывают до точки и резервирование канала...
Александр
и будет и 120 К ))
Александр
Пример конфига ZyXEL Keenetic 4G III
Александр
со статическим IpSec
Александр
Заменены на XXX IP адреса и пасс админа... подливать не рекомендую, только как пример посмотреть
Александр
Александр
на самом деле есть у этой железки свои чудеса, пока больше 2-х каналов одновременно на ней не получилось поднять
Александр
2-х статических IpSec VPN
dot
Миштах
на самом деле есть у этой железки свои чудеса, пока больше 2-х каналов одновременно на ней не получилось поднять
Так этот keenetic надо же как филиальный роутер использовать. Тоесть понятно что при соединении ipsec site 2site обе точки равны, но тут звезда используется: в центре мошный vpn концентратор, а по точкам стоят маленькие vpn роутеры. И на них только один канал до центра
Александр
)) Надо! Счастье для всех, бесплатно. И пусть никто не уйдёт обиженным )
Миштах
)) Надо! Счастье для всех, бесплатно. И пусть никто не уйдёт обиженным )
А тут много людей, которые читали?
dot
Александр
))