если не в этом дело - то тогда сервис

и еще куча уязвимостей и неочевидностей

и честно говоря - это нарушение GPL

ну так - если по чесноку

nebula решает все проблемы

nebula.zyxel.com

https://www.zyxel.com/ru/ru/solutions/Nebula-Commercial-Cloud-Networking-Solution-20161018-771782.shtml

nebula это когда ты не паришься как у тебя устроена сеть - ты всегда можешь дотянуться до любого устройства

и имеешь статистику использования

ей без разницы как устроена сеть

с любого браузера, с любой ОС!

может я конечно не правильно вас понимаю

если не в этом дело - то тогда сервис

Понял, спасибо.

для nebula нет разницы - она достучится до всех, лишь бы был интернет

А что не стабильно?

А что не стабильно?

На моей практике вай-фай был нестабильным, приходилось часто перенастраивать, либо перезагружать. И как ни странно, после перезагрузки вай-фай нормально работал. Я бы мог понять если бы это был какой-нибудь тп-линк, но от микротика не ожидал.

Как проводной роутер нормально пашет (в моих случаях).

Как проводной роутер нормально пашет (в моих случаях).

у меня не нормальлно пахал

по итогу вообще сбросился

Странно, работает без проблем и л2тп. Хотя я в продакшене использую чистый IPSec. Вайфай не тормозит, не зависает. Роутеры с аптаймом больше 150 дней, так как всегда прошиваю свежий Лонг-терм.

Вебинар: Шлюзы безопасности Zyxel серий USG, VPN и ATP с облачной "песочницей" Мы поговорим о: • Линейка шлюзов безопасности Zyxel • VPN возможности устройств, UTM функционал • Что такое «песочница» в шлюзах ATP и как она помогает нивелировать атаки нулевого дня • Реализованные проекты Дата: 26 февраля 2020 года Время: 15:00 - 16:00 MSK РЕГИСТРАЦИЯ Добро пожаловать!

👆🏻Это автоматичекий напоминатель 😁

Приветствую, есть пара проблем связанных с VPN на АТР200, от ТП пока толку нет, может есть здесь знающие люди? 1- есть настроенный ssl vpn, подключаться к нему получается без проблем, но вот не задача-при подключении через него клиент не видит сеть за ipsec туннелем, который так же настроен на этом аппарате.(локалки в настройках прописаны) 2 - так же настроен l2tp, но при попытке к нему подключиться соединение срывается, так и не подключившись В основном интересует 1 вопрос

В network Extension (Optional) Enable Network Extension стоит?

Тут либо ставить Force all client traffic to enter SSL VPN tunnel либо без него, но тогда отдельно сети пропихивать на клиента в разделе чуть ниже Network List

но только до 8 подсетей (девайсов)

с маршрутизацией всего трафика такая же история

Возможно еще настройки Network->Routing прописывать политики

т.е. маршрут из ssl vpn на подсеть, за ipsec?

да.

Ну и политики доступа подшаманить

разрешить

политики доступа, подшаманены, даже на время тестов разрешалось всё и всем

из зоны SSL_VPN в IPSec_VPN что там надо

бум пробовать. спасибо

значит политика маршрутизации осталась

Next Hop указать какой след тип интерфейса

incoming: SSL_VPN dest address: удаленная подсеть Next-hop : VPN tunnel и ниже выбрать нужный

Больше идей пока нет

incoming: SSL_VPN dest address: удаленная подсеть Next-hop : VPN tunnel и ниже выбрать нужный

это в маршрутах?

Как там меню на русском не помню. Фото в студию

Сеть - маршрутизация

наверное

политики маршрутизации вкладка

Как там меню на русском не помню. Фото в студию

все верно. Тут и прописать еще одну политику для SSL_VPN зоны.

все верно. Тут и прописать еще одну политику для SSL_VPN зоны.

увы. прописал, но пакеты так и не пошли

А на другой стороне знают что про сеть SSL_VPN?

если на той стороне не прописана подсеть в политике IPSec тунеля, то пакеты и не пойдут.

знают, дело в том, что до АТР200 стоял Kerio, через который такая схема работала. С клиента трассировка дальше шлюза, т.е. самого АТП не идёт

сейчас подумаем

а на другой стороне изменения есть?

нет, там Микротик, кроме метода шифрования ничего не менялось

так Kerio снять на главной стороне и заменен на atp. Как раньше подключались удаленные пользователи по впн к керио?

подсети то может другие теперь?

подсети прописаны те же, на ATP всё настраивалось аналогично тому, как было на Kerio, даже создаваемая SSL VPN сеть та же. Пользователи ранее подключались с помощью Kerio control VPN client, сейчас с помощью SecuExtender

на всякий случай вот трассировка с клиента до сети за Микротиком

112.65 это шлюз провайдера

так он сразу пошёл на интернет. значит что то с политиками маршрутов

там не должно быть видно интернет адреса. если по тунелям идет маршрут

так он сразу пошёл на интернет. значит что то с политиками маршрутов

политики маршрутов имеется в виду политики безопасности?

нет. Маршруты

но в маршрутизации как раз прописано, чтобы из туннеля в туннель трафик шёл

если делать трейс с самого ATP до удаленого микротика по тунелю. Проходит?

В разделе обслуживание, есть инструменты полезные для диагностики

там же режется

# traceroute -4 10.1.5.3 -n traceroute to 10.1.5.3 (10.1.5.3), 30 hops max, 60 byte packets 1 213.170.112.65 1.556 ms 1.656 ms 1.643 ms 2 * * * 3 * * * 4 * * * 5 * * *

не видит удаленку. Поэтому сначало надо починить тунель между девайсами

а тунели UP статус?

а тунели UP статус?

да. из локальной сети которая напрямую к АТР видна сеть за Микротиком

Трассировка маршрута к GS [10.1.5.3] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс 192.168.111.2 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 12 ms 15 ms 14 ms GS [10.1.5.3] Трассировка завершена.

надо еще раз политики безопасности перепроверить. Чтобы было разрешено общение SSL_VPN с Tunnel.

источник LAN, адреса any, назначение Туннель Микротика?

обшибся

такой рул, я вижу работает

SSL_VPN рул с Tunnel проверить. Еще можно включить на последнем правиле Deny дефолтном логирование. Может там что подскажет.

включено, вот правила