VladGousev

Жаль, конечно, что никто не откликнулся. Я день убил, но сделал, как мне надо (почти). Если, вдруг, у кого будут вопросы по данной теме, обращайтесь Чем смогу, помогу.

День добрый! Может быть найдутся специалисты по strongSWAN? Никак не получается настроить соединение с mikrotika, который подключен через Yota. С йотовым модемом не получается работать как с нормальным выделенным ip. Тут "белый" ip вешается на модем, а между модемом и микротиком поднимается сеть 10.0.0.0/24 (10.0.0.1 - модем, 10.0.0.10 - микротик). Далее модем всё пробрасывает в обе стороны, но всё равно, это получается NAT. ipsec приходится строить не с внешнего ip, а с 10.0.0.10. К сожалению ROS, как я понял, не умеет в ikev2, где такой nat работает без проблем. А в ikev1 нужно реализовывать nat-t (nat traversal). Но у меня не получается получить соединение по этой схеме. Всё доходит только до стадии "message 3 sent". Если тема заинтересует кого-нибудь, я выложу все конфиги. Очень надеюсь на ответ.

Тему можно считать закрытой. Нормальную маршрутизацию сделал с помощью организации ipip-туннеля, который потом шифруется ipsec. Так получается и безопасно, и удобно.

Каких конкретно глюков. Я пока не ловил, вроде бы.

Основная проблема почему дуда виснет, это работа на XP или семерке. У них ограничение на количество соединений, когда забьете туда 500-1000 устройств, он начнет терять с ними связь. Аналогично и с виртуальными машинами. Поэтому дуду нужно ставить на отдельный сервер. Да, да, на операционках для рабочих станций от microsoft традиционно орграниченно количество одновременных сессий. Делать на них мониторинг - очень плохая идея.

Через Yota нормально работает ipsec, надо только не забыть nat traversal включисть. Сделаете политики с двух сторон проброса пакетов из одной внутренней сети в другую и всё. Но я бы лучше поднял между микротиками ipip-тунель и шифровал (ipsec) ip-encap трафик между ними. Так удобнее маршрутизировать.

Учтите, что wifi у него слабый. Я бы не сказал, что у него слабый wifi. Это просто у 951-ых боевые излучатели установлены. Мне даже неуютно держать их на столе во время настройки. И так лысеть рано начал :) Не замечено пока их "зависание". У меня правда всего один, но наш челябинский филиал их активно использует и очень рекомендует.

Ну я ведь так себе и представлял вначале, но меня сетевики из Москвы упорно убеждают в другом. Спасибо, добрый человек, что вернули мне веру с себя. Ну а клиенты из одной сети ходить в другую смогут. Это можно прикрыть фаерволом. Само собой, что на L3 всё прикрыто. Главное, чтобы на L2 дыр не было.

Теорию по ip-адресации почитайте, бред написали, в .0/30 подсети рабочие адреса .1 и .2, адрес сети .0 пиром быть не может, с обоих сторон .1 указан локальным... такое в пятницу писать не гуманно, уставший разум пожалейте. Блииинн, вот это я лажанул.... Простите меня. Вот что, вечер пятницы с человеком делает... Стыдно... Спасибо, что макнули. И да, всё работает после прописывания корректных адресов. Ещё раз спасибо.

Подскажите, кто-нибудь настраивал туннель ipip между MikroTik и linux? У меня, что-то никак не получается... Помогите, пожалуйста. Дано: MikroTik 750UP: 1.) Создал туннель tun111 с внешнего адреса yyy.yyy.yyy.yyy на внешний адрес linux xxx.xxx.xxx.xxx: /interface ipip add !keepalive local-address=yyy.yyy.yyy.yyy name=tun111 remote-address=xxx.xxx.xxx.xxx 2.) Повесил локальный ip на туннель: /ip address add address=10.108.108.1/30 interface=tun111 network=10.108.108.0 Linux (пакет etcnet): 1.) Создал туннель: # mkdir /etc/net/ifaces/tun111 # cat > /etc/net/ifaces/tun111/options TYPE=iptun TUNTYPE=ipip TUNLOCAL=xxx.xxx.xxx.xxx TUNREMOTE=yyy.yyy.yyy.yyy TUNOPTIONS='ttl 64' HOST=eth0 2.) Повесил на туннель ip: # cat > /etc/net/ifaces/tun111/ipv4address 10.108.108.1 peer 10.108.108.0/32 3.) Поднял туннель: ifup tun111 В итоге пинг не идёт ни с 10.108.108.0 на 10.108.108.1, ни в обратную сторону. При этом виден траффик на туннеле с обоих концов. Torch и Packet Sniffer показывают, что пакеты ходят. В iptables (с обеих сторон) я уже разрешил полный траффик между 10.108.108.0 и 10.108.108.1, а также xxx.xxx.xxx.xxx и yyy.yyy.yyy.yyy. Я ничего не понимаю. Почему траффик ходит, а отклика нет?

День добрый! Есть микротик (750UP) и шлюз на линуксе. На каждом из них есть внутренняя сеть со своими устройствами и внешняя с "белым" ip. Нужно было создать защищённый канал между этими внутренними сетями. С помощью strongSwan настроил ipsec и вроде всё работает, но есть одна проблема. Устройства из внутренних сетей общаются между собой без проблем, а вот зайти с линукса на микротик и обратно, используя внутренние адреса сети, не получается. Почему такое происходит, понятно. ipsec policy направляет в защищённый канал весь трафик с одной внутренней сети на другую, но на микротике и ликуксе два интерфейса и при попытке связи непосредственно с них выбирается внешний. Вот например, если пинговать с микротика линукс командой "ping 192.168.100.1 src-address=192.168.200.1", т.е. прямо указывая интерфейс, с которого выполняется связь, то пинг проходит. Как наладить связь не указывая интрефейс-источник никак на ум не придёт. Жду советов от опытных сетевиков. Заранее спасибо.

У меня один hAP lite и много 951 (Ui и G). Не заметил различия в работе (кроме другой версии winbox). Решил ещё лайтов взять, т.к. функционал 951 для меня избыточен (в частности USB не нужен). А вот mAP2n брать не советую. У меня их два и оба проблемные. Продукт получился симпатичный, но уж больно сырой и нестабильный. Как раз сейчас один из них опять полёг по неведомой причине...

Ну я ведь так себе и представлял вначале, но меня сетевики из Москвы упорно убеждают в другом. Спасибо, добрый человек, что вернули мне веру с себя.

А прошивка какая? Попадались жалобы на связь с 6.31. Вообще 6.31 очень странная прошивка. Мой 750UP вообще зависал с ней через день. Давно я не ждал новую прошивку с таким нетерпением.

ipsec, конечно, не нов, но почему не нужно его использовать? Тем более, что в l2tp он является одной из составляющих частей. l2tp тоже далеко не юн. Тогда уж надо sstp поднимать, чтобы было модно и современно.