СР
красиво лампочки светят) как будто и не фотка вовсе
Красиво умер )))
Сначала он первый раз увиделся в net install и выдал fail
А теперь вот так
Size: a a a
2021 April 15
AP
k
читаю здесь терки про ипсек и думаю: если поставят задачу с помощью него что-то сделать, то будет проще уволиться
SM
Так понимаю, никто толком не скажет ниичаво по части привязки политики аписец к профилям л2тп?
VP
Прямая связь - это полиси.
VP
Политика привязывается не к профилю, а к пиру.
SM
Поищу, но вот прямой связи пока не увидел. Даже конфигу просмотрел.
У меня сейчас на микротике есть полиси ипсек, но.. если пытаюсь добавить новую, винбокс умирает.
У меня сейчас на микротике есть полиси ипсек, но.. если пытаюсь добавить новую, винбокс умирает.
SM
>> Политика привязывается не к профилю, а к пиру.
Не могу найти связь пира ипсек и пиров/профилей. То есть связь настроенных л2тп и политик ipsec.
Не могу найти связь пира ипсек и пиров/профилей. То есть связь настроенных л2тп и политик ipsec.
SM
Может не там и не так гляжу. Но не могу
VP
1. Обновите винбокс и сбросьте кеш/сессию.
2. Какая версия РОС?
2. Какая версия РОС?
RP
Да не так он страшен, как его малюют. Нужно просто принять тот факт, что IPSec защищает IP пакеты, он не создаёт сам туннелей. А какие IP пакеты защищать мы указываем в политиках, всё.
Никакой маршрутизации в IPSec нет, это не туннельный протокол, даже Route-based IPSec с VTI на самом деле работает так же, просто политика имеет вид 0.0.0.0/0-0.0.0.0/0, а ядро ОС пакеты под политику эту помещает только если, в RIB есть маршрут через виртуальный интерфейс к которому эта политика прикреплена.
Никакой маршрутизации в IPSec нет, это не туннельный протокол, даже Route-based IPSec с VTI на самом деле работает так же, просто политика имеет вид 0.0.0.0/0-0.0.0.0/0, а ядро ОС пакеты под политику эту помещает только если, в RIB есть маршрут через виртуальный интерфейс к которому эта политика прикреплена.
SM
У меня сейчас, получатся, все полиси - динамические.
SM
рос последняя 48.2
VP
Значит "их создает" пир на основе настройки в идентити
SM
Я понимаю. У меня полиси 2 типов, для клиент-2-сайт и сайт-сайт.
Но вот привязку к туннелятм л2тп не вижу, потому не врубаюсь в настройки.
Но вот привязку к туннелятм л2тп не вижу, потому не врубаюсь в настройки.
VP
Привязки явной к туннелям и нет. Тут от обратного надо идти. Если по факту трафик туннеля попадает под условия полиcи, то он, соответственно будет обработан IPSec.
SM
Так вот тут и возникает тема создания некоего статического ипсек со своим прешаред, блекджеком и шлюхами. Или это не возможно? Тот же самый принцип, чтобы, допустим, у каждого клиент-2-сайт подключения был свой прешаред, в итоге.
Сейчас у меня, судя по всему, прешаред для клиентов прописан в свойствах сервера. Я хочу сделать подключение и для удалённого сайта, чтобы он с другим прешаред ключом подключался. Пытаясь увязать это, не понимаю, как...
Или... создаётся пир с выделенным прешаред, когда снаружи сайт подключается, поднимая туннель, выбирается полиси с совпадающим ключом?
Сейчас у меня, судя по всему, прешаред для клиентов прописан в свойствах сервера. Я хочу сделать подключение и для удалённого сайта, чтобы он с другим прешаред ключом подключался. Пытаясь увязать это, не понимаю, как...
Или... создаётся пир с выделенным прешаред, когда снаружи сайт подключается, поднимая туннель, выбирается полиси с совпадающим ключом?
SM
само распознает?
VP
"распознает", если попадет под условия.
SM
Всё. Теперь дошло. Своеобразная логика.