r13

Тот который в вебе настраивается Речь о ситуации когда и веб туннели и автоматические туннели в режиме ikev2

@Le ecureuil В 2.10 голый ipsec и автотуннели в режиме ikev2 считаются системой не совместимыми и отключаются. Может пора подкорректировать алгоритм отключения появившийся в 2.09 и не отключать ikev2 туннели?

Именно так.

Для корректности перед выключением есть отмонтирование носителей, как софтово, так и в том числе назначаемое на кнопку.

Только зачем все это? Выключиться он софтово все равно не может, потреблять меньше тоже не будет.

@Le ecureuil По сабжу: на "клиенте" создаю default route через интерфейс и выставляю приоритет (ip global) на итерфесе туннеля на "сервере" включаю нат на интерфейсе туннеля (ip nat IPIP) этого достаточно или порекомендуете еще какие-то настройки? (может вообще все по другому надо делать

Сетевое окружение возможно только по NetBIOS или новых протоколах SSDP/UPNP тоже будет? Надо поэкспериментировать!

Тут не полный отказ, а только от самой древней первой версии протокола.

Именно так, при отключении smb v1 в винде доступ к шарам естественно есть, А в разделе «Сеть» списка уже не будет( не поддерживается виндой в данном случае) Тогда вопрос если отказываемся от небезопасного smb v1 то зачем нужен master browser?

@ndm Судя по этому комментарию: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/#div-comment-108875 В отсутствие smb v1 броузинг виндовых шар перестает работать. Отсюда вопрос а нужен ли нам master browser если все равно при отключении smb v1 в винде функционал использоваться не будет? ЗЫ Или я не правильно понял текст.

Да, чистый Eoip туннель(без автоматического тандема с ipsec) работает без проблем, но его в ограничениях и не заявлено.

Ограничение на GRE описано в первом посте.

Пункт 3.33 команда ip http port ЗЫ этой командой вы чуть сеть роутера не поменяли

Туннель заработал.

2.09 перешла в статус беты уже. И команда только через cli, в вебе это не настраивается.

Если основная цель ограничение скорости, то в 2.09 появилась команда ограничения для незарегистрированных пользователей: ip traffic-shape unknown-host rate X Возможно в текущей ситуации как вариант.

Я интерпритирую "пользователь" как учетку пользователя(с логином и паролем), а не как зарегистрированный хост. Ну может ТС уточнит каих именно пользователей не хватает.

Ну у вас же все клиенты не под индивидуальными учетками сидят.

@Le ecureuil ну тк к pptp теперь можно подключить 64 клиента, а с админом это уже 65 а есть еще и virtualip. Короче для открытия своего провайдера на базе кинетика не хватат

@Le ecureuil "Хороший" у вас отпуск Отдыхайте лучше. Туннели пару, тройку недель подождут.

@dexter Тоже по всей видимости, новую команду для ikev2 надо ввести.

Это да, в принципе при такой схеме в текущей реализации у нас просто дольше будет уход на резерв из-за необходимости переподнять туннель. ЗЫ ну и в схеме когда на ISP не стоит галка использовать для выхода в интернет текущую реализацию туннеля в качестве резерва задействовать не удастся я полагаю?

например есть скажем Интернет через ISP сверху через него PPTP c галкой использовать для выхода в интернет Параллельно поднимаем авто туннель также с галкой использовать для выхода в интернет в режиме резеовирования И чтобы этот туннель не инкапсулировался в PPTP а шел через ISP или еще какое нибудь резервное соединение такая настройка была бы применима.

@Le ecureuil Возможно ли добавить автоматическим туннелям опцию connect via по аналогии с PPTP/L2TP туннелями?

Дано: Ultra2 - сервер с белым IP Giga2 - клиент за нат Создал автоматический IPIP туннель Со стороны сервера в логах все ок туннель поднялся: IpSec::Configurator: crypto map "IPIP2" is up. А вот со стороны клиеннта следующая ошибка: Jun 10 16:44:25ipsec 12[IKE] no acceptable traffic selectors found Jun 10 16:44:25ipsec 12[IKE] closing IKE_SA due CHILD_SA setup failure Jun 10 16:44:25ndm IpSec::Configurator: error while establishing CHILD_SA crypto map "IPIP2" connection. И клиент уходит на реконнект селф с клиента далее.