PK
зато айписек в айписек не завернешь. )
друг в друга да, но если сверху поднять какой-нибудь grelan, то почему бы и нет.
Size: a a a
2020 June 19
VB
поднял l2tp сервер на микротике для виндовс клиентов для входа в локалку, теперь их весь трафик идет через этот роутер, как настроить что бы только локалка тянулась
отключить "использовать шлюз в удаленной сети" на клиентах
RP
зато айписек в айписек не завернешь. )
На одном устройстве или на разных?
VP
На одном устройстве или на разных?
На одном. Речь конкретно о микротике.
RP
Если считать, что AH+ESP для одного пакета это два IPsec, то можно, правда я про Mikrotik не спорю, не знаю, как на нём.
VP
Если считать, что AH+ESP для одного пакета это два IPsec, то можно, правда я про Mikrotik не спорю, не знаю, как на нём.
У микротик есть матчер на айписек полиси. И если трафик ему соответствует, то шифрование всегда срабатывает однократно, даже если уже шифрованный трафик попадает под другую полиси.
RP
У микротик есть матчер на айписек полиси. И если трафик ему соответствует, то шифрование всегда срабатывает однократно, даже если уже шифрованный трафик попадает под другую полиси.
Понятно, даже ребята из АНБ (NSA) рекомендуют делать ESP over ESP используя разные для этого шлюзы:
https://www.nsa.gov/Portals/70/documents/resources/everyone/csfc/capability-packages/MSCCPv1.1_20180626.pdf
Поэтому отсутствие у Mikrotik такой возможности, на мой взгляд не проблема совсем, это очень специфический случай, когда нужно инкапсулировать ESP в ESP.
https://www.nsa.gov/Portals/70/documents/resources/everyone/csfc/capability-packages/MSCCPv1.1_20180626.pdf
Поэтому отсутствие у Mikrotik такой возможности, на мой взгляд не проблема совсем, это очень специфический случай, когда нужно инкапсулировать ESP в ESP.
VP
Понятно, даже ребята из АНБ (NSA) рекомендуют делать ESP over ESP используя разные для этого шлюзы:
https://www.nsa.gov/Portals/70/documents/resources/everyone/csfc/capability-packages/MSCCPv1.1_20180626.pdf
Поэтому отсутствие у Mikrotik такой возможности, на мой взгляд не проблема совсем, это очень специфический случай, когда нужно инкапсулировать ESP в ESP.
https://www.nsa.gov/Portals/70/documents/resources/everyone/csfc/capability-packages/MSCCPv1.1_20180626.pdf
Поэтому отсутствие у Mikrotik такой возможности, на мой взгляд не проблема совсем, это очень специфический случай, когда нужно инкапсулировать ESP в ESP.
Это не проблема, а гм, наоборот - способ избавиться от проблемы "закольцовывания".
z
why?
VP
z311
why?
бикоз пакета может не быть в системе. )
m
Подскажите как обрабатываются пакеты в mangle chain=forward. К примеру есть сетка 192.168.88.0/24, я хочу в ней весь трафик маркировать одной меткой, кроме 192.168.88.0/28 - этих другой
Мне следует правила расположить сверху для меньшей сетки, а снизу для большей или наоборот?
В общем, пакеты после первого совпадения больше не обрабатываются или проверяются все правила подряд?
Мне следует правила расположить сверху для меньшей сетки, а снизу для большей или наоборот?
В общем, пакеты после первого совпадения больше не обрабатываются или проверяются все правила подряд?
VP
misha
Подскажите как обрабатываются пакеты в mangle chain=forward. К примеру есть сетка 192.168.88.0/24, я хочу в ней весь трафик маркировать одной меткой, кроме 192.168.88.0/28 - этих другой
Мне следует правила расположить сверху для меньшей сетки, а снизу для большей или наоборот?
В общем, пакеты после первого совпадения больше не обрабатываются или проверяются все правила подряд?
Мне следует правила расположить сверху для меньшей сетки, а снизу для большей или наоборот?
В общем, пакеты после первого совпадения больше не обрабатываются или проверяются все правила подряд?
Там еще пастру есть. От него зависит терминируется ли прохождение по правилам или пойдет дальше.
VP
Там еще пастру есть. От него зависит терминируется ли прохождение по правилам или пойдет дальше.
А размещать следует "большую" а затем "меньшую"
m
Там еще пастру есть. От него зависит терминируется ли прохождение по правилам или пойдет дальше.
passthrough? В зависимости от этой настройки пакет продолжит или не продолжит движение?
VP
misha
passthrough? В зависимости от этой настройки пакет продолжит или не продолжит движение?
Угу
m
спасибо
VB
А размещать следует "большую" а затем "меньшую"
большая маска или большая сетка ;)
VP
большая маска или большая сетка ;)
В вашем случае первое /24, второе /28
Второе перемаркирует то, что пометило первое.
Второе перемаркирует то, что пометило первое.
VB
так тогда все пойдет по первой нет?
VP
так тогда все пойдет по первой нет?
Для того нужно пастру.