r13

Пункт 3.33 команда ip http port ЗЫ этой командой вы чуть сеть роутера не поменяли

Туннель заработал.

2.09 перешла в статус беты уже. И команда только через cli, в вебе это не настраивается.

Если основная цель ограничение скорости, то в 2.09 появилась команда ограничения для незарегистрированных пользователей: ip traffic-shape unknown-host rate X Возможно в текущей ситуации как вариант.

Я интерпритирую "пользователь" как учетку пользователя(с логином и паролем), а не как зарегистрированный хост. Ну может ТС уточнит каих именно пользователей не хватает.

Ну у вас же все клиенты не под индивидуальными учетками сидят.

@Le ecureuil ну тк к pptp теперь можно подключить 64 клиента, а с админом это уже 65 а есть еще и virtualip. Короче для открытия своего провайдера на базе кинетика не хватат

@Le ecureuil "Хороший" у вас отпуск Отдыхайте лучше. Туннели пару, тройку недель подождут.

@dexter Тоже по всей видимости, новую команду для ikev2 надо ввести.

Это да, в принципе при такой схеме в текущей реализации у нас просто дольше будет уход на резерв из-за необходимости переподнять туннель. ЗЫ ну и в схеме когда на ISP не стоит галка использовать для выхода в интернет текущую реализацию туннеля в качестве резерва задействовать не удастся я полагаю?

например есть скажем Интернет через ISP сверху через него PPTP c галкой использовать для выхода в интернет Параллельно поднимаем авто туннель также с галкой использовать для выхода в интернет в режиме резеовирования И чтобы этот туннель не инкапсулировался в PPTP а шел через ISP или еще какое нибудь резервное соединение такая настройка была бы применима.

@Le ecureuil Возможно ли добавить автоматическим туннелям опцию connect via по аналогии с PPTP/L2TP туннелями?

Дано: Ultra2 - сервер с белым IP Giga2 - клиент за нат Создал автоматический IPIP туннель Со стороны сервера в логах все ок туннель поднялся: IpSec::Configurator: crypto map "IPIP2" is up. А вот со стороны клиеннта следующая ошибка: Jun 10 16:44:25ipsec 12[IKE] no acceptable traffic selectors found Jun 10 16:44:25ipsec 12[IKE] closing IKE_SA due CHILD_SA setup failure Jun 10 16:44:25ndm IpSec::Configurator: error while establishing CHILD_SA crypto map "IPIP2" connection. И клиент уходит на реконнект селф с клиента далее.

Да, после пересоздания заработало.

@Le ecureuil В обновленном системном мониторе по IPSec VirtualIP подключенные пользователи должны показываться или еще не допилили? Сейчас у меня VirtualIP показывается в секции IPSec VPN, а в секции пользователи сервера IPSec пусто.

Второй порт по стандартному https открывается

Сервер переехал в приложения ЗЫ и в системном мониторе теперь virtualip тоже показывается.

Тогда точно подстраивать, для ручных автоматическая настройка не работает нужно ручками. ЗЫ а все на основе одного EoIP over ipsec не возможно реализовать? Зачем доп инкапсуляция?

У вас эта проблема с IPIP over ipsec который автоматом настроен? По идее автоматический туннель сам выставляет mtu. Но раз не работает надо пробовать какого максимально размера пинги проходят и соразмерно корректировать mtu (interface IPIP0 ip mtu <число>)

Пинги какого размера ходят? MSS скорее всего на интерфесе надо вручную выставить.

Впринципе можно, только полезная нагрузка с каждой инкапсуляцией снижается.

Уже задавался этим вопросом, ответ - автоматический туннель в серверном режиме на роутере может быть только 1. Нужно больше, вручную настраиваем ipsec отдельно, а поверх него уже туннели без ipsec составляющей.

На данный момент нет.

Отображается корректно На Ультра2.

Дача в оффлайне, в выходные сделаю. В том эксперименте был с одной стороны ipoe c другой стороны lte модем c keenetic, между ними ручной site to site ipsec поверх которого eoip. как уже писал, не работало. Сейчас между двумя точками с ipoe просто через интернет прокинут eoip туннель, проходят пинги до 1486 включительно с компьютера,а из web интерфейса любые, пробовал 10000, проходит. Так что видимо работает фрагментация. ЗЫ или я не знаю как правильно тестить ЗЫ2 да в текущем дампе есть фрагментация. Оно или нет?