StSphinx

Приветствую, коллеги! Ковыряю я тут "стюардессу" - ASA5520(софт 9.1(5)21) на предмет назначения ACL через Radius. Пользователи подключаются через IPSec/L2TP, из Радиуса прилетает атрибут с именем ACL: Filter-ID=<ACL_NAME> В show vpn-sessiondb detail ra-ikev1-ipsec вижу, что ACL назначается, но увы, фактически не отрабатывает. Соответственно и счетчики hit нулевые. ACL простой до изнеможения: access-list acl1 extended permit ip any4 host 192.168.0.10 access-list acl1 extended permit ip any4 host 192.168.0.12 access-list acl1 extended deny ip any any Пробовал как standart так и extended ACL, роли не играет. Опция no sysopt connection permit-vpn присутствует. Кто решал подобную задачу, поделитесь мудростью пожалуйста.

Как вариант сделать: service = exec { priv-lvl = 15 } КМК c priv-lvl = 2 в принципе не будет доступен режим конфигурирования.

@VladOst, то что вы видите как раз следствие того, что в качестве шлюза у вас указан интерфейс. А у провайдера скорее всего на интерфейсе proxy arp. Никогда не указывайте в качестве шлюза интерфейс, если точно не знаете зачем это вам нужно. А лучше вообще никогда. У меня был клиент ровно с такой же проблемой. Спохватились когда на микроте было несколько тысяч arp записей и ему стало плохо.

С аргументацией не поспоришь. Увы, неформальное живое общение сложно заменить.

@DelSt, Мск категорически гибрид, удаленка - не?

Раз есть СКАТ, значит есть возможность сделать захват проблемного трафика. Сделайте, посмотрите что происходит с соединениями.

Конечно решение есть - не чините то, что не ломалось.

@alibek, а нет ли в настройках LACP что-то типа minimum-links ? У джуна, например, такое есть.

https://www.juniper.net/documentation/us/en/software/license/flex/flex-license-for-mx-series-routers-and-mpc-service-cards.pdf Вот тут есть информация по картам.

@QWE, тут в профильном чатике проскакивало: https://www.astarta-m.ru/sol_antifrod.php

Вы же, конечно, читали это: https://www.juniper.net/documentation/us/en/software/jweb-ex/jweb-ex-application-package/topics/task/ex-series-initial-configuration-setting-up-j-web.html

>> Какая разница кто я в этом случае? То есть, чисто гипотетически, вы можете быть человеком, который не совсем законно получил железо и теперь пытается это скрыть. Например. Ничего не утверждаю. Но таки обсуждение подобных тем, всегда занятие крайне спорное с моральной точки зрения.

@perfilov Как вариант, можно сначала отправить команду: terminal length 0 , а уж потом запрашивать mac таблицу.

@Andrei , как минимум они могут скорректировать страну, в которой находится сеть. Насчет региона незнаю, вроде как тоже можно. https://www.maxmind.com/en/geoip-data-correction-request https://www.maxmind.com/en/geoip-location-correction

@TheUser >> А с антиддосниками-отморозками так не работает, они дропают весь трафик без уведомлений. Все так. И зачастую им плевать на RIR. Опять же, совсем недавно, по неведомой причине перестал открываться один гос. сервис. Из сети, которая наша уже сто лет и везде у нее регион RU. Почему они решили дропать наш трафик? Хз. Они не объясняют. Пока не списались с саппортом сервиса, проблема не решилась. Тоже сначала игрались с анонсами и т.д. ТСу настоятельно советую попытаться общаться с той стороной. Не гадайте не кофейной гуще. Если та сторона дропает ваш трафик, то они либо объяснят почему, либо перестанут это делать. В худшем случае вам просто не ответят.