VM
да я просто привел минималку
Size: a a a
2019 June 26
S
add action=accept chain=input dst-port=1701,500,4500 ipsec-policy=in,ipsec protocol=udp
S
так ?
AB
именно так
AB
AB
т.е. аццептим только тот траф, который прошел через ипсек полиси
S
прям клещами надо все выдерать
VM
например циска при дх менее 2048 не поднимет shh второй версии
S
ну еще и айпи клиента если есть возможность в матчер
AB
если знаешь заранее айпи клиента то нет смысла вообще л2тп+ипсек городить, можно просто ипсек с2с
S
пойду латать дырки
AB
и можно main mode использовать
AB
речь идёт о динамических клиентах тут
AB
о, а вот и человек с айписеком с2с
S
бо странные попытки на 500 порту напрягают
AB
это ccie
AB
ну насколько я помню
MG
Сирисли?
VM
верно, статика с двух сторон решает - ipsec site to site на проце с аппаратным aes збс
AB
вроде как в ццие рассказывали про криптопримитивы