Jump to content
Калькуляторы

amper

Активный участник
  • Content Count

    361
  • Joined

  • Last visited

1 Follower

About amper

  • Rank
    Студент

Recent Profile Visitors

2376 profile views
  1. В общем с помощью ссылок ниже удалось собрать вручную профиль для IKEV2 на IOS14: https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf https://wiki.strongswan.org/projects/strongswan/wiki/AppleIKEv2Profile On-demand по DomainAction работает, поднимает соединение при обращениях к почтовому серверу, но похоже при фоновом обновлении (fetch) не происходит проверки условий и соответственно подъема VPN... Если пытаться поднимать VPN по InterfaceTypeMatch, в спящем режиме все равно не подтягивает почту, но при использовании с включенным экраном - фоном подтягивает письма. Но если не удается поднять VPN, то кладет к чертям собачим весь остальной инет на мобиле и похоже способа как-то это обойти нет.
  2. @jffulcrum Ikev2 не поддерживает, к сожалению (Currently supports L2TP, support for other VPN types coming soon).
  3. @McSea Похоже проблема была в PFS ecp256, с переходом в modp2048 проблема с отвалом каждые 8 минут ушла. С профилями интересная идея - их только в Configurator 2 под маком можно собирать или есть аналоги под винду? Для on demand указываются конкретные хосты или туннель поднимается при необходимости доступа в сплит подсеть? И по сплиту вопрос - указать 0.0.0.0/0 нельзя, а больше одной записи IOS не принимает - существует какой-то способ завернуть в туннель разные подсети?
  4. Перепроверил. VPN отваливается не только в простое, но даже если держать в руках телефон и что-то делать, проходит 8 минут и приходит payload delete (ровно так же, как если руками в настройках VPN отключаю). Причем даже если проходит какая-то активность по каналу (срабатывает таймер на проверку почты), это не продлевает время до сброса. Пробовал DPD отключать - без изменений. При переходе с wifi на lte отваливается сразу и не восстанавливается, причем в настройках тумблер VPN еще активен, приходится вручную его выключить - ОКнуть ошибку недоступности VPN - и включить заново. В случае с почтой задача держать постоянно или хотя бы поднимать канал регулярно - для проверки, но vpn-on-demand опять таки убрали из пользовательского доступа, насколько я понимаю.
  5. Отвечу про IOS - это худшее, что может быть... после долбежа с сертами и сплитами - соединение просто каждые 8 минут завершается со стороны IOS, и штатными средствами (через меню) сделать always on VPN нельзя.
  6. Удалось поднять IKE2, но пока очень сомнительный результат - штатный клиент, по крайней мере на анроиде, не дает сделать нормальный split при постоянном подключении, и судя по всему вообще никак не проверяет соответствие CN из сертификата имени хоста либо ip. Strongswan получше. Интересно, как с этим дела в IOS? P.S. CRL в микротике надо как-то отдельно зайдествовать (кроме CRL Download и Use CRL)? Или в самих сертах тоже надо было указывать CA CRL Host? Или он обрабатывается с какой-то задержкой? Отозвал клинетский серт, но клиенты продолжают успешно переподключаться.
  7. Что из поддерживаемых RouterOS протоколов стоит рассмотреть для организации VPN сервера под штатных клиентов на IOS/ANDROID/WIN/MACOS? Т.е. единый сервер доступа для всех клиентов. Задачи: 1) Управлять со стороны сервера перечнем маршрутизируемых через туннель подсетей 2) Иметь возможность отключать\включать юзеров через меню сервера (без необходимости держать доп. сервер для листа отзыва сертификатов) 3) Возможность привязывать IP адреса к профилям клиентов (на базе IP делать ACL по доступам к ресурсам и исключить возможность одновременного использования одних реквизитов\сертификата на нескольких клиентах) 4) В идеале хотелось бы использовать имеющийся SSL сертификат на домен второго уровня (для SSTP его хватает), а клиентам раздавать только логин:пароль 5) Идеальным вариантом была бы привязка устройства к профилю пользователя, т.е. всем юзерам раздаем инструкции по самостоятельной настройке с уникальными реквизитами (сертификат или пароль), первый подключившийся девайс привязывается к профилю и все, даже если юзер кому-то отдаст сертификат\пароль - новый девайс подключиться не сможет, но сомневаюсь, что штатными средствами это реализуемо... По логике хороший вариант был бы IKEV2, но как оказалось даже в 10 анроиде для него поддерживается только PSK либо RSA авторизация, а некоторые китайские мобилы вообще не умеют IKEV2. P.S. Версия для настройки планируется 6.40.9, вроде бы критических уязвимостей не имеет (повышения полномочий не актульны), если требуется ее обновление (для корректной работы VPN) то хотелось бы беспроблемного перехода в части настройки бриджей и VLANов. При переходе на актуальный 6.47.9 (Long-term) что может отвалиться?
  8. Нужно установить некоторое кол-во HAP AC2 с питанием по РОЕ, есть запас инжекторов Ubiquiti POE-24-12W-G, в тестах работает, но смущает 3 момента: 1) Запас по мощности, у HAP AC2 заявлено: DC jack input Voltage 12-30 V Max power consumption 21 W Max power consumption without attachments 16 W Могут ли быть проблемы? USB подключений не планируется. Из клиентов только один ethernet и wifi. 2) Не смотря на спецификации, заявляющие использование только 4-5 и 7-8 пар: На самом БП указана еще и 3-6 пара: Насколько это критично? 3) Так же указанные РОЕ инжекторы имеют функционал удаленного сброса некоторых Ubiquiti устройств (кнопка RESET на инжекторе, при замыкании которой судя по описанию подается 24в через резистор на дата пины, которые некоторые железки распознают как сигнал для сброса/возврата в заводские настройки). Не станет ли подобное, в случае чего, проблемой для HAP AC2?
  9. Задача: иметь стабильный широкий канал для онлайн трансляции (видеоконференции) в движении с помощью нескольких LTE модемов от разных операторов. Роутер выступает в качестве wifi точки доступа для конечных клиентов. Теория: подключить несколько LTE модемов через USB хаб, понимать какой из каналов стабильнее и имеет более широкую полосу, и переключаться на него для трансляции - Проблемы: 1) Каждый внешний канал имеет свой внешний IP, соответственно для внешнего сервера при смене IP адреса будет разрываться сессия - промежуточный VPN в какой-то единой точке может быть решением. 2) Просто тест пинга на LTE едва ли будет достоверным способом определения качества канала - вероятно тоже есть какое-то тестовое решение через скрипты (по аналогии спидтеста, но может страдать полоса пропускания во время тестов). Вариант решения: объеденить все LTE каналы в единый виртуальный канал на промежуточную VPN точку и уже с этой точки подключаться к серверу видеоконференций. Соответственно на VPN сервере так же должна работать схема объединения нескольких подключений в одно. Может кто-то делал что-то подобное?
  10. Так прикол в том, что отваливается клиент на wlan2, где ssid не скрыт. А virtual ap со скрытым ssid на wlan1.
  11. Пароль отличается. А вещание SSID это известная проблема?
  12. HAP AC2, поднимаем virtual bridge ap c hide ssid на wlan 1, при этом на wlan 2 с непрогнозируемой регулярностью начинают отваливаться клиенты с "received disassoc: sending station leaving (8)", и в течение какого-то времени (10-20 секунд) клиент вообще не видит AP на Wlan2. Изменение частот каналов/ширины/мощности для wlan2 никаких изменений не давали, после отключения virtual ap - проблема ушла. Совпадение?
  13. В использовании такие модули: https://shop.nag.ru/catalog/02557.elementy-sks/05627.grozozaschita-molniezaschita/15467.nag-11poe https://shop.nag.ru/catalog/02557.elementy-sks/05627.grozozaschita-molniezaschita/19393.nag-apc-poe Некоторые после грозы умирают и требуют замены. Некоторые продолжают работать, но непонятно, сработают ли они в следующий раз или нет. Раз в год профилактически менять под 200 модулей никто не будет.
  14. https://data.nag.ru/SNR Protector/Zakluchenie_Rostelecom_.pdf Вот тут пишут, что защита имеет ограниченное кол-во срабатываний и нужно проверять... А что проверять? Что в момент проверки - защита сработала, но сработает ли она следующий раз? Или пока связь через защиту есть - значит защита работоспособна? Не хотелось бы раз в 2-3 года обходить все труднодоступные места (используется для poe cctv) где она стоит для превентивной замены...