E
Denis Voytsekhovich
понял, отстал... просто странная штука, стоит autoneg.... на самом деле
Люби и читай документацию
Size: a a a
2020 June 04
DV
ага. и вновь туда же )))
DV
спс
N
Перепробовал всё что только можно, эту чертову винду не побороть.
Злость
1. IPsec с ike2 если прикручиваешь RSA 4096\2048 все работает, но некоторые провайдеры режут udp
в итоге у меня из-за фрагментации удаленные точки не заводятся. (порядка 20% и мобильные провайдеры)
2. В саппорте посоветовали перейти на кривые EC (ecdsa), прикручиваешь - работает микротик с микротиком, но все
виндовые клиенты отваливаются с ошибкой 13806 (винда 8.1 и 10)
3. Кто-то посоветовал поднять радиус сервер - поднял на линухе freeradius (тестил так же и докер версию)
радиус работает, но ipsec клиентов не авторизует, винда отпадает от микрота с ошибкой 13801
4. Поставил бету7 накатил usermanager, настроил его - все так же как и в случае линохового радиуса.
Куда копать?
Злость
1. IPsec с ike2 если прикручиваешь RSA 4096\2048 все работает, но некоторые провайдеры режут udp
в итоге у меня из-за фрагментации удаленные точки не заводятся. (порядка 20% и мобильные провайдеры)
2. В саппорте посоветовали перейти на кривые EC (ecdsa), прикручиваешь - работает микротик с микротиком, но все
виндовые клиенты отваливаются с ошибкой 13806 (винда 8.1 и 10)
3. Кто-то посоветовал поднять радиус сервер - поднял на линухе freeradius (тестил так же и докер версию)
радиус работает, но ipsec клиентов не авторизует, винда отпадает от микрота с ошибкой 13801
4. Поставил бету7 накатил usermanager, настроил его - все так же как и в случае линохового радиуса.
Куда копать?
А вы чего хотите добиться в итоге неясно. VPN желаете?
Bm
А вы чего хотите добиться в итоге неясно. VPN желаете?
VPN на винду и микроты
N
VPN на винду и микроты
Для виндовых клиентов отличным вездезодным решением является SSTP. Шифрование у меня поднималось AES256.
Работает по https, так что провайдерам блочить не с руки.
Единственное, для большого трафика на микротике нужен хороший проц. Либо CHR. Винда сама отлично справляется.
Работает по https, так что провайдерам блочить не с руки.
Единственное, для большого трафика на микротике нужен хороший проц. Либо CHR. Винда сама отлично справляется.
E
Перепробовал всё что только можно, эту чертову винду не побороть.
Злость
1. IPsec с ike2 если прикручиваешь RSA 4096\2048 все работает, но некоторые провайдеры режут udp
в итоге у меня из-за фрагментации удаленные точки не заводятся. (порядка 20% и мобильные провайдеры)
2. В саппорте посоветовали перейти на кривые EC (ecdsa), прикручиваешь - работает микротик с микротиком, но все
виндовые клиенты отваливаются с ошибкой 13806 (винда 8.1 и 10)
3. Кто-то посоветовал поднять радиус сервер - поднял на линухе freeradius (тестил так же и докер версию)
радиус работает, но ipsec клиентов не авторизует, винда отпадает от микрота с ошибкой 13801
4. Поставил бету7 накатил usermanager, настроил его - все так же как и в случае линохового радиуса.
Куда копать?
Злость
1. IPsec с ike2 если прикручиваешь RSA 4096\2048 все работает, но некоторые провайдеры режут udp
в итоге у меня из-за фрагментации удаленные точки не заводятся. (порядка 20% и мобильные провайдеры)
2. В саппорте посоветовали перейти на кривые EC (ecdsa), прикручиваешь - работает микротик с микротиком, но все
виндовые клиенты отваливаются с ошибкой 13806 (винда 8.1 и 10)
3. Кто-то посоветовал поднять радиус сервер - поднял на линухе freeradius (тестил так же и докер версию)
радиус работает, но ipsec клиентов не авторизует, винда отпадает от микрота с ошибкой 13801
4. Поставил бету7 накатил usermanager, настроил его - все так же как и в случае линохового радиуса.
Куда копать?
По-умолчанию у винды 10 пропозал максимальный модп2048, ecd включать надо отдельно ручками
A
Src Nat out interface vpn action = маскарад
Ром, здравствуйте. Сделал как Вы сказали. Я теперь могу их сеть пинговать из своей локалки, а их шлюз меня не может. Что нужно ? С их стороны нат в мою ?
RK
маршруты
A
На их шлюзе, ко мне, так ?
A
А если пропишу маршрут, то наверно маскарад и не нужен будет у меня ? Так как у меня есть маршрут к ним и у них будет ко мне, так ?
N
Andrei
А если пропишу маршрут, то наверно маскарад и не нужен будет у меня ? Так как у меня есть маршрут к ним и у них будет ко мне, так ?
Если:
1. обратный маршрут есть;
2. адресация нигде не пересекается.
3. фаервол пропустит
1. обратный маршрут есть;
2. адресация нигде не пересекается.
3. фаервол пропустит
A
Если:
1. обратный маршрут есть;
2. адресация нигде не пересекается.
3. фаервол пропустит
1. обратный маршрут есть;
2. адресация нигде не пересекается.
3. фаервол пропустит
Адресации не пересекаются.
Я просто видимо не так понимаю, как работает коннектед сетка. Я думал маршруты не нужно будет писать.
Я просто видимо не так понимаю, как работает коннектед сетка. Я думал маршруты не нужно будет писать.
N
Коннектед - та сеть, которая непосредственнл подключена к интерфейсу. И на интерфейсе есть IP-адрес из этой сети.
A
Коннектед - та сеть, которая непосредственнл подключена к интерфейсу. И на интерфейсе есть IP-адрес из этой сети.
Ну вот я вставил их патчкорд себе в 10 порт микрота. Поставил их адрес. Сделал маскарад как Рома сказал и я стал их пинговать. А они со своего шлюза меня не могут. Разве коннектед сетка не образовалась между нами ? И они не должны меня то же пинговать ?
N
Не забывайте еще про фаервол на транзитных и на конечных узлах. Иногда от него бывают сюрпризы. Особенно, если конечные - win10
A
Не забывайте еще про фаервол на транзитных и на конечных узлах. Иногда от него бывают сюрпризы. Особенно, если конечные - win10
То есть технически, то, что я выше описал, они меня должны пинговать ?
N
Andrei
Ну вот я вставил их патчкорд себе в 10 порт микрота. Поставил их адрес. Сделал маскарад как Рома сказал и я стал их пинговать. А они со своего шлюза меня не могут. Разве коннектед сетка не образовалась между нами ? И они не должны меня то же пинговать ?
Ваш фаер мог входящие пакеты дропать. Так делает дефолтный фаер, если интерфейс не в списке "LAN"
A
Ваш фаер мог входящие пакеты дропать. Так делает дефолтный фаер, если интерфейс не в списке "LAN"
Для теста выключил все правила. Не пингуют.
N
Я только загланул. Сейчас почитаю, что там было выше