IO
ну то есть, только купив микрот я это настроил, и оно вроде бы правильно работает, а сейчас задался вопросом целесообразности
action=notrack для ipsec?Size: a a a
2019 December 24
IO
может быть, оно работает из-за того, что в таблице raw есть правила с
E
может быть, оно работает из-за того, что в таблице raw есть правила с
action=notrack для ipsec?конечно
E
Так, а насколько критично, что ipsec траффик не исключается из правила fasttrack?
в частности, в фильтре в правиле
Хотя в мангле соединения метятся этой меткой
(старый конфиг по "разным статьям в интернете")
в частности, в фильтре в правиле
action=fasstrack у меня не поставлено connection-mark=!ipsec.Хотя в мангле соединения метятся этой меткой
(старый конфиг по "разным статьям в интернете")
при фасттраке ипсек пропускается
ВЛ
Нет. Не пойду. Интернет работает и ладно. В пятницу его под нож пущу. Спасибо, что помогали.
IO
при фасттраке ипсек пропускается
"пропускается" в каком смысле?
Игнорится, или "работает как весь другой траффик" ?
Игнорится, или "работает как весь другой траффик" ?
E
"пропускается" в каком смысле?
Игнорится, или "работает как весь другой траффик" ?
Игнорится, или "работает как весь другой траффик" ?
пролетает мимо :)
IO
то есть, без правил в raw
action=notrack сосал бы я, а не шифровал ipsec'ом ?А
Нет. Не пойду. Интернет работает и ладно. В пятницу его под нож пущу. Спасибо, что помогали.
E
то есть, без правил в raw
action=notrack сосал бы я, а не шифровал ipsec'ом ?не могу отвечать за твои действия при разных обстоятельствах. :)
ВЛ
Я плохо понимаю что значат гифки. Ассоциативное мышление, возможно, не таком высоком уровне абстракции.
IO
1)
То есть, достаточно либо в RAW (без MANGLE), либо метить в MANGLE, но тогда добавить исключение метки в правилах FILTER, верно?
filter
add action=fasttrack-connection chain=forward comment="FastTrack LAN <=> WAN traffic" connection-state=established,related
2) mangle
add action=mark-connection chain=input comment="IPSec in" ipsec-policy=in,ipsec new-connection-mark=ipsec passthrough=no
add action=mark-connection chain=output comment="IPSec out" ipsec-policy=out,ipsec new-connection-mark=ipsec passthrough=no
3) raw
add action=notrack chain=prerouting comment="IPsec untrack" in-interface=ether1 ipsec-policy=in,ipsecadd action=notrack chain=output comment="IPsec untrack" ipsec-policy=out,ipsec out-interface=ether1То есть, достаточно либо в RAW (без MANGLE), либо метить в MANGLE, но тогда добавить исключение метки в правилах FILTER, верно?
E
проще и быстрее в раве
IO
ну это да. Оно там и делается, получается, но до кучи ещё вхолостую метка вешается
E
йеп
IO
Интернет, бессердечная ты сука)
E
"потому что надо думать" :)
IO
я за интернет плачу для того, чтобы думать, что ли?
E
для порно