VP
Да. И, плюс, Вы должны понимать, что айписек инкапсулирует именно л2тп, а не собственно пользовательские данные. Т.е. если идти "изнутри", то сначала данные пользователя "заворачиваются" в л2тп, а потом данные л2тп "заворачиваются" в айписек.
Size: a a a
2020 May 03
PT
Я правильно понимаю, что в таком варианте сделать связь site-to-site если белый ip есть только у центрального офиса не получится?
VP
Нет, не правильно. Получится.
PT
а если "галочки не стоит" и настроен Ipsec по другому, то есть выходит что мы пользовательские данные заворачиваем в ipsec и уже потом в l2tp, то такой вариант не пойдет для реализации site-to-site одним белым Ip?
VP
Вы не правильно понимаете. Если "галочка" не стоит, то это не значит, что настройка логически отличается. Может отличаться, но не обязательно.
PT
Но если галочка стоит, то туннельный протокол который видит интернет это l2tp, именно он создает соединение между инициатором и сервером. А уже потом внутри l2tp туннеля создается аутентификация и шифрование данных с помощью IPsec. Так?
VP
Нет. "Интернет" видит айписек.
PT
а возможно ли настроить чтобы было видно l2tp? и как вообще правильно? :/
VP
1. Возможно.
2. Понятие "правильно" тут слабо применимо. Можно правильно забивать гвозди, но при этом забивать их не туда. )
Если Вы в первую очередь себе сможете аргументированно объяснить зачем Вам нужен именно такой способ, тогда он будет правильным. )
2. Понятие "правильно" тут слабо применимо. Можно правильно забивать гвозди, но при этом забивать их не туда. )
Если Вы в первую очередь себе сможете аргументированно объяснить зачем Вам нужен именно такой способ, тогда он будет правильным. )
PT
Например мне надо связать 2 офиса. центральный с белым ип и удаленный через сим карту (нет белого ип)? Применим ли вообще здесь вариант когда инет видит l2tp?
VP
Применим, Но не нужен.
PT
Привет, а ссылка есть?
PT
А чем плох такой вариант?
VP
Тем, что Вы потеряете возможность маршрутизировать сети через интерфейс и Вам придется делать маршрутизацию, основанную на политиках айписек.
AK
кстати вот эта вот "фишечка" ипсека всегда "радовала". Но вроде многие вендоры порешали её уже. Можжевельник уж наверняка (сам настраивал), сиська вроде тоже.
VP
VTI ?
AK
Видимо да. На моей стороне можжевельник, так что настройки той стороны, я увы не знаю. А с той стороны параноики, своих настроек показывать не хотят
PT
кто такой можжевельник?
AK
Juniper
PT
вот никогда бы не догадался )))