Mixin

Увидел поздно, сил уже нет. 4 разных устройства, всё настроилось, всё друг друга увидели. Серое оно, да и бог с ним.

09[IKE] CHILD_SA Temp{2} established with SPIs and TS 192.168.4.0/24[ipv6-crypt] === 192.168.1.0/24[ipv6-crypt] Подскажите, а почему тут приписано ipv6? Может поэтому и не работает ничего у меня. Серая надпись connected что означает?

У кинетика то, что скрывается под командой (config-if)> security-level private У микротика - да.

Проблем с созданием тоннелей и соединений нет. Проблема в том, что к приведенным примерам прилагаются свои настройки безопасности, которые еще и нельзя поменять. Ну, или я не понимаю как. И, видимо, мне нужна помощь в создании правил для nat и файерволла у кинетика. Вот как прописать подобное? ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward ip firewall nat add src-address=192.168.4.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat

Спасибо, попробую. А кинетику такое не надо? Планирую eoip создать в итоге, но пока не понимаю, как его создать со своими настройками безопасности и через уже созданный ipsec.

Чистый IPsec, вот здесь.

Пытаюсь настроить IPsec между Mikrotik hEX S и Keenetic Ultra II. Все получилось, туннель поднялся, ошибок нигде нет, однако обе внутренние сети не видны никак и ниоткуда. Что коробочкам еще надо, подскажите, пожалуйста?

Нет, нашел. В сервер добавить push "route-gateway dhcp".

Извините, мои познания закончились. В маршрутах у вас все нормально.

route print и смотрите, что у вас там пересекается в маршрутах. Также параметр allow-recursive-routing можно попробовать, если вы уверены, то все верно.

Внутренняя сеть клиента и та сеть за роутером, куда подключаетесь.

У вас сеть клиента и сеть назначения одинаковые что ли?

Конфиг без ключей покажите тогда еще раз. А также ipconfig и route print до/после.

В вашем варианте, опять же, если я правильно понимаю, адреса сервера и пул для выдачи надо прописывать на сервере. У вас же все пусто. Вот пример варианта с вручную задаваемыми адресами. https://habr.com/post/67209/ Вот пример варианта с адресами назначаемыми роутером непосредственно. https://forum.keenetic.net/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=51834 Лишнее убрать не забудьте.

Если вы настраиваете tap, то для клиента шлюз и все параметры назначаются через DHCP роутера. И он верный, DNS, шлюз? А то, что вы хотите, видимо, решается нужным вариантом опции redirect-gateway на сервере.

Тяжело вам, наверное.

Я, конечно, не специалист, но там прямо написано, как оно работает. Вы же упорно хотите иначе. Тут написано про tap + мост с Home https://forum.keenetic.net/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=45075 Где вы нашли иное?

FAQ вам не помогает? https://community.openvpn.net/openvpn/wiki/311-what-are-the-fundamental-differences-between-bridging-and-routing-in-terms-of-configuration

Выделяете мышкой нужное, появляется кнопка "Цитировать". Будет проще, если вы покажите и лог, и правило. Более мудрые товарищи, я думаю, помогут. Но мне почему-то кажется, что вам надо с сетями и маршрутами разбираться.

Примерно так: mode server tls-server port 1194 proto udp dev tap0 <ca> </ca> <cert> </cert> <key> </key> <dh> </dh> keepalive 10 120 <tls-auth> </tls-auth> cipher AES-256-CBC compress lz4-v2 push "compress lz4-v2" max-clients 3 user nobody group nobody persist-key persist-tun key-direction 0 client dev tap proto udp remote 1.2.3.4 1194 resolv-retry infinite auth-nocache nobind persist-key persist-tun float <ca> </ca> <cert> </cert> <key> </key> remote-cert-tls server <tls-auth> </tls-auth> cipher AES-256-CBC comp-lzo adaptive key-direction 1 verb 3 А должен? Нет.

Как их звать, интерфейсы эти, подскажите? Из cli создать мост для tap нельзя, я правильно понимаю? Если используется tun, надо ли дополнительно что-то разрешать, чтобы иметь доступ в сеть за кинетиком?

Dec 08 01:47:46ndm Network::Interface::Supplicant: "OpenVPN0": authnentication is unchanged. Dec 08 01:47:46ndm Network::Interface::Base: "OpenVPN0": description saved. Dec 08 01:47:46ndm Network::Interface::IP: "OpenVPN0": IP address cleared. Dec 08 01:47:46ndm Network::Interface::IP: "OpenVPN0": interface is non-global. Dec 08 01:47:46ndm Network::Interface::IP: "OpenVPN0": TCP-MSS adjustment enabled. Dec 08 01:47:46ndm Network::Interface::OpenVpn: "OpenVPN0": configuration successfully saved. Dec 08 01:47:46ndm Network::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel. Dec 08 01:47:46ndm Network::Interface::OpenVpn: "OpenVPN0": set connection via any interface. Dec 08 01:47:46ndm Network::Interface::Base: "OpenVPN0": interface is up. Dec 08 01:47:46ndm Network::Interface::Base: "OpenVPN0": schedule cleared. Dec 08 01:47:46ndm Core::ConfigurationSaver: saving configuration... Dec 08 01:47:49OpenVPN0 OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Dec 08 01:47:49OpenVPN0 library versions: OpenSSL 1.1.0g 2 Nov 2017, LZO 2.10 Dec 08 01:47:49OpenVPN0 Diffie-Hellman initialized with 4096 bit key Dec 08 01:47:49OpenVPN0 Error: private key password verification failed Dec 08 01:47:49OpenVPN0 Exiting due to fatal error Dec 08 01:47:49ndm Service: "OpenVPN": unexpectedly stopped. Dec 08 01:47:50ndm Наверное, дурацкий вопрос, подскажите, а как ему сказать, какой password-то? Или нужно генерировать ключи без оного?

Я по скудоумию своему подумал, что раз IPSEC, к примеру, столько нужный простому пользователю реализован, то можно и про остальное поговорить. Ну, нет так нет.

Я тоже не понял вашего вопроса. Речь про свич. Для чего нужны Link Aggregation и приоритеты портов я должен пояснить?

Собственно, будет ли, планируется ли? Для старших моделей, вроде U3/G2, если я правильно понимаю, это возможно.