S.
😇
Size: a a a
2019 June 25
S
Ну если у тебя будут к этим интерфейсам применятся одинаковые правила то вполне вариант.
S
Но я бы делал так , на физ. Интерфейс дроп всего, на пппое дроп всего в конец и выше разрешающие правила.
S
От пппое отказался, Пров оказывается давно по dhcp, раздает.
VM
любой виртуальный интерфейс, хоть рррое хоть tun хоть tap аналогичен физическому и если именно он гоняет трафик поверх физического, то работаешь с ним а не с фихическим интерфейсом. В остальном уже все объяснили.
S.
Понял
AB
Кроме ипсека
AB
И инпут на траф виртуального интерфейса тож нужен
AB
Служебный и енкап
2019 June 26
VM
абсолютно верно, ибо слона то я и не заметил, забыл про ipsec - там да, сквозное тунелирование, и VTI трогать не нужно, т.к. конечные интерфейсы автоматически ассоциированы с тунельным интерфейсом
VM
последнее время все с OPENVPN приходится работать ибо активно юзаем 4G точки без статики на клиенте, а гонять по DDNS адресам IPSEC тунели в агрессивном режиме вместо мейна иногда чревато сюрпризами.
AB
а чем л2тп плох?
AB
ну и как по мне - так несекурность агрессивки сильно преувеличена
AB
1) во-первых можно юзать сертификаты, и даже в теории этой дырки не будет
AB
2) жирный PSK в любом случае лучше нежирного.
AB
а, ну и для 1 фазы сша256 куда логичнее чем сша1.
vl
vl
может кто нибудь поможет решить проблемму
S.
Выключи pptp службу
vl
внешний ip закрыт у меня белый ip для наблюдения