A
В ядре.
Size: a a a
2021 April 15
RP
В какой подсистеме?
A
xfrm
RP
Понятно, что в SPD есть policy rules, при выполнений xfrm lookup они проверяются
RP
Но, Владимир говорит о этапе маршрутизации, он выполняется до xfrm lookup в ядре
A
Ну, да, сами по себе policy rules не определяют форвардинг, но они могут влиять на routing descision из-за двойного прохождения через сетевой стек.
A
Вроде, насколько я помню, и до, и после.
RP
xfrm lookup выполняется трижды в ядре Linux, в RouterOS не знаю.
xfrm lookup in/fwd/out, fwd lookup после rib lookup, если конечно я не запамятовал.
xfrm lookup in/fwd/out, fwd lookup после rib lookup, если конечно я не запамятовал.
A
Ну, это не трижды, это в трех местах. ipsec-трафик (единожды зашифрованный) всё же результативно пройдет через xfrm политики один раз (еще, конечно, второй, но ни обо что не споткнувшись)
RP
Да в трёх местах, так точнее. Но трижды всё равно. fwd lookup и два раза out lookup
Р
господа, почему может не работать lte пока не воткнешь rj45?
RP
Определение туннеля не сложно найти, хоть в Wikipedia. Но я привёл вам цитаты из RFC который называется архитектура безопасности IP протокола.
RP
https://tools.ietf.org/html/rfc4301
Связь у меня плохая тут, не могу нормально отвечать.
Обратите пристальное внимание на концепцию Security Association в рамках IPSec framework.
То, что IPSec постоянно рассматривают, как очередной туннельный протокол приводит к непониманию и проблемам с настройками.
Связь у меня плохая тут, не могу нормально отвечать.
Обратите пристальное внимание на концепцию Security Association в рамках IPSec framework.
То, что IPSec постоянно рассматривают, как очередной туннельный протокол приводит к непониманию и проблемам с настройками.
EN
есть ключевые слова че гуглить. буду разбираться дальше. спасибо
AJ
Всем привет, ребята подскажите, как можно скрыть роутер из обнаружения в сети проводника windows? Только непосредственно отключить UpNP, других способов нет?
k
отключить discovery
RP
Вам нужно определить в split-include нужные вам префиксы, к которым у клиента должен быть доступ.
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Mode_configs
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Mode_configs
AJ
Отключение в дискавери скрыло его в winbox, а в проводнике локальной сети он так и остаётся