gaaronk

Сделайте на кинетике маршрут в сторону Интернет только для адреса /32 вашего сервера Постройте GRE туннель, его и пошифруйте IPSec'ом И уже в GRE туннель настройте маршрут по умолчанию. Настройку линукса и кинетика могу подсказать если что - пишите в личку.

Офисный ipsec-сервер на чем настроен?

А модно в конфигурацию avahi в секцию [server] добавить опцию allow-point-to-point=yes Что бы mDNS работал через туннели у которых security-level private

До версии 4.0 был ручной IPSec туннель для GRE трафика. Примерно так access-list acl-tun-gre permit gre <ip кинетика> 255.255.255.255 <ip удаленного хоста> 255.255.255.255 crypto map gre-tunnel match-address acl-tun-gre Как указать GRE протокол в новых "object-group ip" используемых для traffic-selectors ? Из-за этого ручные туннель сломались....

Одно лечим, другое калечим Версия 4.0 Alpha 2 1. Проблема с 4мя пресогласованиями решена 2. Для GRE интерфейса задан ipsec encryption-level strong, на другой стороне задано AES_CBC_128/HMAC_SHA1_96/MODP_2048. Этот набор согласно документации для пресет strong поддерживается. Но пока не настроишь AES_CBC_128/HMAC_SHA1_96/MODP_1536 - ничего не работает. MODP_2048 для PFS не используется

Добрый день! Есть Giga III с софтом 3.8.5.4 - новее просто нет. GRE туннель с IPSec. В момент IPsec SA rekey происходит пересогласование CHILD_SA После 4х пересогласований IPsec рестартует. В логе появляется запись ndm: IpSec::CryptoMapInfo: "Gre1": too many active IKE/CHILD SA: 0/4. В моменты пересогласований (lifetime 60 секунд для тестов) в логе такое I [Jan 6 22:29:50] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 1, active CHILD SA: 0. I [Jan 6 22:29:50] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 1, active CHILD SA: 1. I [Jan 6 22:30:27] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 1. I [Jan 6 22:30:27] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:30:37] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:30:37] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:31:01] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 2. I [Jan 6 22:31:01] ndm: IpSec::CryptoMapInfo: "Gre1": crypto map active IKE SA: 0, active CHILD SA: 3. Такое поведение исправлено в ветке 3.9?

Это я сам дурак. После подготовки бинарников на внешней машине для гиги надо их конвертировать в little endian. А вот на Duo big endian, а файлики все равно ищутся в каталоге /opt/share/xt_geoip/LE, а не /opt/share/xt_geoip/BE

И еще вопрос. А как автоматический IPSec для GRE сделать routed в терминологии strongswan?

А можно ли для interface ipsec encryption-level задавать собственные наборы алгоритмов? А то встроенные не совсем устраивают....

А это я сам дурак. Надо проверять не только $table но и $type А то IPv6 firewall часто дергает mangle

Идут года, а хуками netfilter пользоваться все так же невозможно... Вот с такой частотой продолжает вызываться скрипт для таблицы mangle Fri Jun 24 06:41:47 MSK 2022 Fri Jun 24 06:46:25 MSK 2022 Fri Jun 24 06:46:59 MSK 2022 Fri Jun 24 06:51:47 MSK 2022 Fri Jun 24 06:51:47 MSK 2022 Fri Jun 24 06:54:14 MSK 2022 Fri Jun 24 06:55:47 MSK 2022 Fri Jun 24 06:59:15 MSK 2022 Fri Jun 24 07:00:47 MSK 2022 Fri Jun 24 07:01:22 MSK 2022 Fri Jun 24 07:02:47 MSK 2022 Fri Jun 24 07:04:17 MSK 2022 Версия 3.7.4

Странное дело. Есть Giga III и Duo. На обоих 3.7.4 (на гиге из delta). На обоих используется модуль xt_geoip Бинарные файлики стран которые готовятся xt_geoip_build делаются на внешней машине и одновременно загружаются в гигу и дуо. На Duo все работает как надо. На гиге под правило, например с параметрами -m geoip --dst-cc RU - попадает весь трафик. Если вместо RU выбрать любую другую страну - все равно матчит все.

Массовые врядли. Но strongswan + freeradius вполне. У меня дома все это так и поднято.

А вот так # lsmod | grep geoip xt_geoip 3414 0 - Live 0x82d2c000 (O) # iptables -m geoip --help iptables v1.4.21: Couldn't load match `geoip':No such file or directory Try `iptables -h' or 'iptables --help' for more information. И правила тоже не добавляет... Хотя вот вполне работает # iptables -m esp --help

Спасибо! Подключу туда IoT железку на 10 мегабит.

Добрый день! Скажите пожалуйста, я правильно понимаю что в Hero 4G WAN порт сидит через RGMII на отдельном MAC, а LAN порты через встроенный коммутатор? И если мы превращаем WAN в LAN, то между бывшим WAN и LAN портами будет программный бриджинг? Если это не так и все аппаратно - то почему на GigabitEthernet1/0 нельзя сделать switchport mode trunk ?

Надо Feature Request пилить

Печально что тема 2017 года, а изменений нет =(

Оно работает так Chain _NDM_STATIC_SNAT (1 references) num pkts bytes target prot opt in out source destination 4 0 0 SNAT all -- * ppp0 10.0.10.0/30 0.0.0.0/0 ndmmark match 0x4/0x4 to:x.x.x.x Что верно. Я не помню переделывали ли логику netfilter в кинтетиках, но в стандартом линуксе в этой цепочке нельзя делать match по входному интерфейсу. Поэтому тут надо явно задавать сети. А вот тот то оно добавляет сети в DNAT - в том и печаль.

Ну да, как тут правильно отписали ip static <in-iface> <out-iface> еще в source добавляет сеть прибитую к интерфейсу. Я проблему подпер костылем - делаю NAT по нужным условиям на другом конце туннеля. Там просто линукс. Использовать руки Opkg тоже невозможно =(

Вот это "network соответствует интерфейсу c уровнем безопасности public" крайне расплывчато. Назначена на интерфейсе? Маршрутизируется в интерфейс? Непонятно но что что значит public. Да и потом. О какой сети/интерфейсе идет речь? Для команды ip static 192.168.0.0 255.255.0.0 PPPoE0 Мы говорим про 192.168.0.0 255.255.0.0 или про PPPoE0 ?

Сеть 192.168.0.0/16 не соответствует никакому интерфейсу. Она маршрутизируется в сторону интерфейса Wireguard0. На нем стыковочный адрес с маской /30. Он private interface Wireguard0 description VPN security-level private ip address 10.0.10.2 255.255.255.252 ip mtu 1400 ip tcp adjust-mss pmtu wireguard listen-port x.x.x.x wireguard peer <key> endpoint x.x.x.x:yyy keepalive-interval 10 preshared-key <key> allow-ips 0.0.0.0 0.0.0.0 ! up ! ip route 192.168.0.0 255.255.0.0 10.0.10.1 Wireguard0

Добрый день! Что то никак не могу решить задачу через web-ui или cli. Для сети 192.168.0.0/16 (доступной через туннель) при выходе в интернет и только туда, надо делать SNAT в адрес интерфейса. Для пример - команда CLI ip static 192.168.0.0 255.255.0.0 PPPoE0 прописывает не только SNAT, но и DNAT правило типа такого Chain _NDM_STATIC_DNAT (1 references) num pkts bytes target prot opt in out source destination 1 8 512 DNAT all -- * * 0.0.0.0/0 192.168.0.0/16 to:1.9.5.31 Что совсем мешает жить и работать

Есть DUO с 3.5.6 GRE туннель, который потом шифруется IPSec в ручном режиме. Ping-check привязанный к другому адресу туннеля, и маршрут со свойством auto Примерно так ping-check profile ipsec-gre host 192.168.10.21 update-interval 3 mode icmp min-success 3 max-fails 3 timeout 3 ip route 192.0.2.0 255.255.255.0 192.168.10.21 Test auto interface Gre1 rename Test security-level private ip address 192.168.10.22 255.255.255.252 ip mtu 1400 ip tcp adjust-mss pmtu ping-check profile ipsec-gre ipsec ignore tunnel source PPPoE0 tunnel destination x.x.x.x up Когда туннель в up, все отлично. Если туннель падает, то интерфейс переходит в состояние "connected: no", маршрут из таблицы маршрутизации уходит. Но при этом процесс ndm начинает есть 50% CPU и весле лог забивается записями C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:25] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd025a]. C [Jan 14 15:29:31] ndm: Network::Util::Route4: system failed [0xcffd0407]. Есть правда маршруты добавленные через shell ip route replace blackhole 10.0.0.0/8 ip route replace blackhole 172.16.0.0/12 ip route replace blackhole 192.168.0.0/16 Есть маршруты которые добавляет bird

Хорошая мысль, да. Проклятый Silicon Power. В помойку его.